MS-MPCおよびMS-MICでのネットワーク攻撃防御
MS-MPC の IDS について
侵入検出サービス
MS-MPCの侵入検出サービス(IDS)ルールは、ネットワーク攻撃の一部であるトラフィックを識別してドロップする方法を提供します。
IDSルールは、ファイアウォールフィルターやポリサーよりも細かいレベルのフィルタリングを提供し、不正なTCPフラグやその他の不正なフラグの組み合わせを阻止し、一般的なレート制限を適用できます( ルーティングポリシー、ファイアウォールフィルター、およびトラフィックポリサーユーザーガイドを参照)。ファイアウォールフィルターとポリサーを IDS と共に使用して、IDS ルールで処理する必要があるトラフィックを削減できます。
IDS ルールでは、以下を指定できます。
個々の送信元から発信されたセッション、または個々の宛先で終了するセッションの制限。これにより、ネットワークプロービング攻撃やフラッディング攻撃から保護されます。
ドロップする不審なパケットのタイプ。
ヘッダー異常攻撃から保護するため、IDSルール、ステートフルファイアウォールルール、またはNATルールを設定してサービスセットに適用すると、ヘッダーの整合性チェックが自動的に実行されます。サービス セットに IDS ルール、ステートフル ファイアウォール ルール、または NAT ルールを割り当てない場合は、サービス セットのヘッダー整合性チェックを明示的に設定することもできます。
利点
さまざまな種類のネットワーク攻撃に対する保護を提供します。
セッション制限
IDS ルールを使用して、個々の送信元または個々の宛先へのトラフィックのセッション制限を設定できます。これにより、ネットワークプロービング攻撃やフラッディング攻撃から保護されます。セッション制限を超えるトラフィックは破棄されます。セッション制限は、ICMP などの特定の IP プロトコルを使用するトラフィック、または一般的なトラフィックに対して指定できます。
制限を個々のアドレスに適用するか、特定のプレフィックス長の個々のサブネットからのトラフィックのアグリゲーションに適用するかを決定します。たとえば、プレフィックス長が 24 の IPv4 サブネットの制限を集計した場合、192.0.2.2 と 192.0.2.3 からのトラフィックは 192.0.2.0/24 サブネットの制限に対してカウントされます。
セッション制限から保護する一般的なネットワークプロービングおよびフラッディング攻撃には、次のようなものがあります。
ICMP Address Sweep | 攻撃者は、ICMPリクエストプローブ(ping)を複数のターゲットに送信します。ターゲットマシンが応答すると、攻撃者はターゲットのIPアドレスを受け取ります。 |
ICMP Flood | 攻撃者は、1つ以上の送信元IPアドレスから大量のICMPパケットを送信することにより、ターゲットマシンをフラッディングします。ターゲットマシンは、これらのICMPパケットを処理しようとするとリソースを使い果たし、有効なトラフィックを処理できなくなります。 |
TCP Port Scan | 攻撃者は、TCP SYNパケットを1つのソースからターゲットマシンの複数の宛先ポートに送信します。ターゲットが1つ以上の宛先ポートからSYN-ACKで応答した場合、攻撃者はターゲットでどのポートが開いているかを学習します。 |
TCP SYN Flood | 攻撃者は、1つ以上の送信元IPアドレスから大量のTCP SYNパケットを送信することにより、ターゲットマシンをフラッディングします。攻撃者は、実際の送信元 IP アドレスを使用して TCP 接続を完了したり、偽の送信元 IP アドレスを使用して TCP 接続が完了しなかったりする可能性があります。ターゲットは、完了したすべての TCP 接続と未完了の TCP 接続の状態を作成します。ターゲットは、接続状態を管理しようとするとリソースを使い果たし、有効なトラフィックを処理できなくなります。 |
UDP Flood | 攻撃者は、1つ以上の送信元IPアドレスから大量のUDPパケットを送信することにより、ターゲットマシンをフラッディングします。ターゲットマシンは、これらのUDPパケットを処理しようとするとリソースを使い果たし、有効なトラフィックを処理できなくなります。 |
送信元または宛先へのトラフィックのセッション制限には、次のようなものがあります。
同時セッションの最大数
最大パケット数/秒
最大接続数/秒
また、IDS は、以下の条件が発生した場合の不審なアクティビティに対して、ラインカードの PFE に動的フィルターをインストールします。
個々の送信元アドレスまたは宛先アドレス(サブネット用ではない)の1秒あたりのパケット数または1秒あたりの接続数が、IDSルールのセッション制限の4倍を超えています。このセッション制限は、IDS ルールの一般的な送信元または宛先の制限であり、特定のプロトコルに指定された制限ではありません。
サービス カードの CPU 使用率が設定値(デフォルト値は 90%)を超えています。
動的フィルターは PFE で不審なトラフィックをドロップし、トラフィックは IDS ルールで処理されるために MS-MPC に送信されません。パケットまたは接続速度が IDS ルールの制限の 4 倍を超えなくなると、動的フィルターが削除されます。
不審なパケットパターン
IDSルールを使用して、疑わしいパケットパターンを持つトラフィックを識別してドロップすることができます。これにより、異常なパケットを作成してサービス拒否攻撃を仕掛ける攻撃者から保護します。
IDSルールで指定できる疑わしいパケットパターンと攻撃は、以下のとおりです。
ICMP fragmentation attack | 攻撃者は、IP フラグメントであるターゲット ICMP パケットを送信します。ICMPパケットは通常短いため、これらは疑わしいパケットと見なされます。ターゲットがこれらのパケットを受信すると、パケットの誤った処理からシステム全体のクラッシュまで、さまざまな結果が生じる可能性があります。 |
ICMP large packet attack | 攻撃者は、IP 長が 1024 バイトを超えるターゲット ICMP フレームを送信します。ほとんどのICMPメッセージは小さいため、これらは疑わしいパケットと見なされます。 |
ICMP Ping of death attack | 攻撃者は、IP データグラム長 (ip_len) が IP パケットの最大法定長 (65,535 バイト) を超えるターゲットの ICMP ping パケットを送信し、パケットがフラグメント化されます。ターゲットが IP パケットを再構築しようとすると、バッファー オーバーフローが発生し、システムのクラッシュ、フリーズ、再起動が発生する可能性があります。 |
IP Bad option attack | 攻撃者は、不適切な形式のIPv4オプションまたはIPv6拡張ヘッダーを使用してターゲットパケットを送信します。これは、ルーターとターゲットの IP スタックの実装によっては、予期しない問題を引き起こす可能性があります。 |
IPv4 options | 攻撃者は、サービス拒否攻撃に IPv4 オプションを悪意を持って使用できます。 |
IPv6 extension headers | 攻撃者は、拡張ヘッダーをサービス拒否攻撃やフィルターのバイパスに悪意を持って使用できます。 |
IP teardrop attack | 攻撃者は、重複するターゲットのフラグメント化されたIPパケットを送信します。ターゲットマシンは、パケットを再構築しようとするときにリソースを使い果たし、有効なトラフィックを処理できなくなります。 |
IP unknown protocol attack | 攻撃者は、IPv4の場合は137、IPv6の場合は139を超えるプロトコル番号でターゲットパケットを送信します。不明なプロトコルが悪意のある可能性があります。 |
Land attack | 攻撃者は、宛先と送信元の両方のIPアドレスとしてターゲットのIPアドレスを含むターゲットのなりすましSYNパケットを送信します。ターゲットは、自分自身に繰り返し返信するため、リソースを使い果たします。陸上攻撃の別のバリエーションでは、SYNパケットにも同じ送信元ポートと宛先ポートが含まれています。 |
SYN fragment attack | 攻撃者は、ターゲットの SYN パケットフラグメントを送信します。ターゲットは SYN フラグメントをキャッシュし、残りのフラグメントが到着するのを待って、それらを再構築して接続を完了できるようにします。SYNフラグメントの洪水は、最終的にホストのメモリバッファをいっぱいにし、有効なトラフィック接続を妨げます。 |
TCP FIN No ACK attack | 攻撃者は、FINビットは設定されているが、ACKビットが設定されていないターゲットTCPパケットを送信します。これにより、攻撃者はターゲットのオペレーティングシステムを識別したり、ターゲットで開いているポートを特定したりできます。 |
TCP no flag attack | 攻撃者は、フラグを含まないターゲットTCPパケットを送信します。これにより、TCP スタックの実装によっては、ターゲットで予期しない動作が発生する可能性があります。 |
TCP SYN FIN attack | 攻撃者は、SYNビットとFINビットの両方が設定されたターゲットTCPパケットを送信します。これにより、TCP スタックの実装によっては、ターゲットで予期しない動作が発生する可能性があります。 |
TCP WinNuke attack | 攻撃者は、緊急(URG)フラグが設定されたTCPセグメントを、Windowsを実行しているターゲットのポート139に送信します。これにより、ターゲット マシンがクラッシュする可能性があります。 |
ヘッダー異常攻撃
ヘッダー異常攻撃から保護するため、IDSルール、ステートフルファイアウォールルール、またはNATルールを設定してサービスセットに適用すると、ヘッダーの整合性チェックが自動的に実行されます。サービス セットに IDS ルール、ステートフル ファイアウォール ルール、または NAT ルールを割り当てない場合は、サービス セットのヘッダー整合性チェックを明示的に設定することもできます。
ヘッダー整合性チェックは、次のヘッダー異常攻撃に対する保護を提供します。
ICMP Ping of death attack | 攻撃者は、IP データグラム長 (ip_len) が IP パケットの最大法定長 (65,535 バイト) を超えるターゲットの ICMP ping パケットを送信し、パケットがフラグメント化されます。ターゲットが IP パケットを再構築しようとすると、バッファー オーバーフローが発生し、システムのクラッシュ、フリーズ、再起動が発生する可能性があります。 |
IP unknown protocol attack | 攻撃者は、IPv4の場合は137、IPv6の場合は139を超えるプロトコル番号でターゲットパケットを送信します。不明なプロトコルが悪意のある可能性があります。 |
TCP no flag attack | 攻撃者は、フラグを含まないターゲットTCPパケットを送信します。これにより、TCP スタックの実装によっては、ターゲットで予期しない動作が発生する可能性があります。 |
TCP SYN FIN attack | 攻撃者は、SYNビットとFINビットの両方が設定されたターゲットTCPパケットを送信します。これにより、TCP スタックの実装によっては、ターゲットで予期しない動作が発生する可能性があります。 |
TCP FIN No ACK attack | 攻撃者は、FINビットは設定されているが、ACKビットが設定されていないターゲットTCPパケットを送信します。これにより、攻撃者はターゲットのオペレーティングシステムを識別したり、ターゲットで開いているポートを特定したりできます。 |
MS-MPCに対するネットワーク攻撃に対する保護の設定
このトピックでは、MS-MPC の使用時にネットワーク攻撃から保護する方法について説明します。
ネットワークプロービング、ネットワークフラッディング、および疑わしいパターン攻撃に対する保護の設定
ネットワーク プローブ攻撃、ネットワーク フラッディング攻撃、および疑わしいパターン攻撃に対する保護を構成するには、侵入検出サービス (IDS) ルールを構成し、そのルールを MS-MPC 上のサービス セットに適用します。IDS ルールの最初の条件のみが使用され、サービス セットの最初の IDS 入力ルールと最初の IDS 出力ルールのみが使用されます。
ネットワークプロービング、ネットワークフラッディング、および疑わしいパターン攻撃に対する保護を構成するには、以下が含まれます。
- IDS ルール名と方向の設定
- サブネットのセッション制限の設定
- プロトコルに依存しないセッション制限の設定
- ICMPアドレススイープ保護の設定
- TCP ポート スキャナ保護の設定
- ICMPフラッディング保護の設定
- UDP フラッディング保護の設定
- TCP SYNフラッディング保護の設定
- ICMP フラグメンテーション保護の設定
- ICMPラージパケットプロテクションの設定
- IP不正オプション保護の設定
- 陸上攻撃防御の設定
- TCP SYNフラグメント保護の設定
- WinNuke 保護を構成する
- サービスセットの設定
IDS ルール名と方向の設定
IDSルールごとに、名前とそれが適用されるトラフィックの方向を設定する必要があります。
IDS ルールの名前と方向を設定するには:
サブネットのセッション制限の設定
個々のアドレスではなく、個々の宛先サブネットまたは送信元サブネットとの間のすべての攻撃の集約にセッション制限を適用する場合は、集約を構成します。
サブネットアグリゲーションを設定するには:
プロトコルに依存しないセッション制限の設定
個々の宛先へのトラフィック、またはプロトコルとは無関係の個々のソースからのトラフィックのセッション制限を設定する場合は、以下のタスクを 1 つ以上実行します。
ICMPアドレススイープ保護の設定
ICMP アドレス スイープに対する保護を設定するには、送信元で許可される ICMP 同時セッションの最大数、1 秒あたりのパケット数、1 秒あたりの接続数を任意の組み合わせで設定します。
TCP ポート スキャナ保護の設定
TCPポートスキャナー攻撃に対する保護を構成するには、送信元または宛先に対して許可される最大TCP同時セッション数と1秒あたりの接続数を任意の組み合わせで構成します。
ICMPフラッディング保護の設定
ICMPフラッディング攻撃に対する保護を設定するには、宛先で許可される最大ICMP同時セッション数、1秒あたりのパケット数、および1秒あたりの接続数の任意の組み合わせを設定します。
UDP フラッディング保護の設定
UDP フラッディング攻撃に対する保護を設定するには、宛先に対して許可される最大 UDP 同時セッション数、1 秒あたりのパケット数、1 秒あたりの接続数を任意の組み合わせで設定します。
TCP SYNフラッディング保護の設定
TCP SYN フラッディング攻撃に対する保護を構成するには、送信元または宛先に対して許可される最大 TCP 同時セッション数、1 秒あたりのパケット数、および 1 秒あたりの接続数の任意の組み合わせを構成します。タイムアウト後に確立されていない TCP 接続を閉じるように構成することもできます。
ICMP フラグメンテーション保護の設定
ICMPフラグメンテーション攻撃から保護するには:
IP フラグメントである ICMP パケットの識別とドロップを設定します。
[edit services ids rule rule-name term term-name then] user@host# set icmp-fragment-check
ICMPラージパケットプロテクションの設定
ICMPラージパケット攻撃から保護するには:
1024 バイトを超える ICMP パケットの識別とドロップを設定します。
[edit services ids rule rule-name term term-name then] user@host# set icmp-large-packet-check
IP不正オプション保護の設定
不正なIPv4オプションやIPv6拡張ヘッダー攻撃から保護するには、以下を行います。
陸上攻撃防御の設定
陸上攻撃から保護するには:
送信元と宛先の IP アドレスが同じ、または送信元と宛先の IP アドレスとポートが同じである SYN パケットの識別と破棄を設定します。
[edit services ids rule rule-name term term-name then] user@host# set land-attack-check (ip-only | ip-port)
パケットの送信元および宛先IPアドレスが同じになるように指定するには オプションを使用し
ip-only
、パケットの送信元および宛先IPアドレスとポートが同じになるように指定するには オプションを使用しますip-port
。
TCP SYNフラグメント保護の設定
TCP SYN フラグメント攻撃から保護するには:
IP フラグメントである TCP SYN パケットの識別とドロップを構成します。
[edit services ids rule rule-name term term-name then] user@host# set tcp-syn-fragment-check
WinNuke 保護を構成する
WinNuke 攻撃から保護するには、次の手順を実行します。
ポート 139 を宛先とし、緊急(URG)フラグが設定されている TCP セグメントの識別とドロップを構成します。
[edit services ids rule rule-name term term-name then] user@host# set tcp-winnuke-check
サービスセットの設定
IDS ルールアクションをサービスセットに適用するには:
ヘッダー異常攻撃に対する保護の設定
以下のいずれかの方法を使用して、ヘッダー整合性チェックを有効にし、ヘッダー異常のあるパケットをドロップすることで、ヘッダー異常攻撃から保護します。
MS-MPC でのネットワーク攻撃防御パケット ドロップのロギングの設定
MS-MPC によって実行されたヘッダー整合性、疑わしいパケット パターン、およびセッション制限チェックに起因するパケット ドロップのロギングを設定するには: