Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IDPプロトコル異常ベース攻撃

プロトコル異常攻撃オブジェクトは、プロトコル仕様(RFC および一般的な RFC 拡張)に違反する未知の攻撃または高度な攻撃を検出します。新しいプロトコル異常を作成することはできませんが、新しい攻撃オブジェクトを設定して、検出されたときにデバイスが事前定義されたプロトコル異常を処理する方法を制御することはできます。

次のプロパティは、プロトコル異常攻撃に固有です。

  • 攻撃方向

  • 試験条件

プロトコル異常ベース攻撃を設定する際は、以下の点に留意してください。

  • サービスまたはアプリケーションのバインドは、プロトコル異常攻撃の必須フィールドです。サポートされているアプリケーション以外にも、サービスにはIP、TCP、UDP、ICMP、およびRPCが含まれます。

  • 攻撃方向とテスト条件のプロパティは、異常攻撃定義を構成するための必須フィールドです。

例:IDP プロトコル異常ベース攻撃の設定

この例では、プロトコル異常ベースの攻撃オブジェクトを作成する方法を示しています。

必要条件

開始する前に、ネットワークインターフェイスを設定します。

概要

この例では、anomaly1 というプロトコル異常攻撃を作成し、次のプロパティを割り当てます。

  • タイムバインディング—範囲を peer 、カウントを 2 に指定して、指定された回数、セッションの送信元IPアドレスと宛先IPアドレス間の異常を検出します。

  • 重大度(情報):条件に一致する攻撃に関する情報を提供します。

  • 攻撃方向(任意)—クライアントからサーバーへのトラフィックとサーバーからクライアントへのトラフィックの両方の方向からの攻撃を検出します。

  • サービス(TCP)—TCPサービスを使用して攻撃を照合します。

  • テスト条件(OPTIONS_UNSUPPORTED)—特定の事前定義されたテスト条件に一致します。この例では、攻撃にサポートされていないオプションが含まれている場合、条件は一致することです。

  • シェルコード (sparc) - Sparc プラットフォームのシェルコードを検出するフラグを設定します。

プロトコル異常ベース攻撃オブジェクトを設定した後、IDP ポリシー ルールの一致条件として攻撃を指定します。 例:IDP IPS RuleBase のルールの定義を参照してください。

構成

プロシージャ

CLIクイック構成

この例を迅速に設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルのCLIにコピーアンドペーストして、設定モードから commit を入力します。

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

プロトコル異常ベース攻撃オブジェクトを作成するには:

  1. 攻撃の名前を指定します。

  2. 攻撃の共通プロパティを指定します。

  3. 攻撃の種類とテスト条件を指定します。

  4. 異常攻撃の他のプロパティを指定します。

業績

設定モードから、 show security idp コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認するには、次のタスクを実行します。

設定の確認

目的

プロトコル異常ベース攻撃オブジェクトが作成されたことを確認します。

アクション

動作モードから show security idp status コマンドを入力します。