Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

MS-MPCおよびMS-MICでのネットワーク攻撃防御

MS-MPC の IDS について

侵入検出サービス

MS-MPCの侵入検出サービス(IDS)ルールは、ネットワーク攻撃の一部であるトラフィックを識別してドロップする方法を提供します。

IDSルールは、ファイアウォールフィルターやポリサーよりも細かいレベルのフィルタリングを提供し、不正なTCPフラグやその他の不正なフラグの組み合わせを阻止し、一般的なレート制限を適用できます( ルーティングポリシー、ファイアウォールフィルター、およびトラフィックポリサーユーザーガイドを参照)。ファイアウォールフィルターとポリサーを IDS と共に使用して、IDS ルールで処理する必要があるトラフィックを削減できます。

IDS ルールでは、以下を指定できます。

  • 個々の送信元から発信されたセッション、または個々の宛先で終了するセッションの制限。これにより、ネットワークプロービング攻撃やフラッディング攻撃から保護されます。

  • ドロップする不審なパケットのタイプ。

ヘッダー異常攻撃から保護するため、IDSルール、ステートフルファイアウォールルール、またはNATルールを設定してサービスセットに適用すると、ヘッダーの整合性チェックが自動的に実行されます。サービス セットに IDS ルール、ステートフル ファイアウォール ルール、または NAT ルールを割り当てない場合は、サービス セットのヘッダー整合性チェックを明示的に設定することもできます。

利点

  • さまざまな種類のネットワーク攻撃に対する保護を提供します。

セッション制限

IDS ルールを使用して、個々の送信元または個々の宛先へのトラフィックのセッション制限を設定できます。これにより、ネットワークプロービング攻撃やフラッディング攻撃から保護されます。セッション制限を超えるトラフィックは破棄されます。セッション制限は、ICMP などの特定の IP プロトコルを使用するトラフィック、または一般的なトラフィックに対して指定できます。

制限を個々のアドレスに適用するか、特定のプレフィックス長の個々のサブネットからのトラフィックのアグリゲーションに適用するかを決定します。たとえば、プレフィックス長が 24 の IPv4 サブネットの制限を集計した場合、192.0.2.2 と 192.0.2.3 からのトラフィックは 192.0.2.0/24 サブネットの制限に対してカウントされます。

セッション制限から保護する一般的なネットワークプロービングおよびフラッディング攻撃には、次のようなものがあります。

ICMP Address Sweep

攻撃者は、ICMPリクエストプローブ(ping)を複数のターゲットに送信します。ターゲットマシンが応答すると、攻撃者はターゲットのIPアドレスを受け取ります。

ICMP Flood

攻撃者は、1つ以上の送信元IPアドレスから大量のICMPパケットを送信することにより、ターゲットマシンをフラッディングします。ターゲットマシンは、これらのICMPパケットを処理しようとするとリソースを使い果たし、有効なトラフィックを処理できなくなります。

TCP Port Scan

攻撃者は、TCP SYNパケットを1つのソースからターゲットマシンの複数の宛先ポートに送信します。ターゲットが1つ以上の宛先ポートからSYN-ACKで応答した場合、攻撃者はターゲットでどのポートが開いているかを学習します。

TCP SYN Flood

攻撃者は、1つ以上の送信元IPアドレスから大量のTCP SYNパケットを送信することにより、ターゲットマシンをフラッディングします。攻撃者は、実際の送信元 IP アドレスを使用して TCP 接続を完了したり、偽の送信元 IP アドレスを使用して TCP 接続が完了しなかったりする可能性があります。ターゲットは、完了したすべての TCP 接続と未完了の TCP 接続の状態を作成します。ターゲットは、接続状態を管理しようとするとリソースを使い果たし、有効なトラフィックを処理できなくなります。

UDP Flood

攻撃者は、1つ以上の送信元IPアドレスから大量のUDPパケットを送信することにより、ターゲットマシンをフラッディングします。ターゲットマシンは、これらのUDPパケットを処理しようとするとリソースを使い果たし、有効なトラフィックを処理できなくなります。

送信元または宛先へのトラフィックのセッション制限には、次のようなものがあります。

  • 同時セッションの最大数

  • 最大パケット数/秒

  • 最大接続数/秒

また、IDS は、以下の条件が発生した場合の不審なアクティビティに対して、ラインカードの PFE に動的フィルターをインストールします。

  • 個々の送信元アドレスまたは宛先アドレス(サブネット用ではない)の1秒あたりのパケット数または1秒あたりの接続数が、IDSルールのセッション制限の4倍を超えています。このセッション制限は、IDS ルールの一般的な送信元または宛先の制限であり、特定のプロトコルに指定された制限ではありません。

  • サービス カードの CPU 使用率が設定値(デフォルト値は 90%)を超えています。

動的フィルターは PFE で不審なトラフィックをドロップし、トラフィックは IDS ルールで処理されるために MS-MPC に送信されません。パケットまたは接続速度が IDS ルールの制限の 4 倍を超えなくなると、動的フィルターが削除されます。

不審なパケットパターン

IDSルールを使用して、疑わしいパケットパターンを持つトラフィックを識別してドロップすることができます。これにより、異常なパケットを作成してサービス拒否攻撃を仕掛ける攻撃者から保護します。

IDSルールで指定できる疑わしいパケットパターンと攻撃は、以下のとおりです。

ICMP fragmentation attack

攻撃者は、IP フラグメントであるターゲット ICMP パケットを送信します。ICMPパケットは通常短いため、これらは疑わしいパケットと見なされます。ターゲットがこれらのパケットを受信すると、パケットの誤った処理からシステム全体のクラッシュまで、さまざまな結果が生じる可能性があります。

ICMP large packet attack

攻撃者は、IP 長が 1024 バイトを超えるターゲット ICMP フレームを送信します。ほとんどのICMPメッセージは小さいため、これらは疑わしいパケットと見なされます。

ICMP Ping of death attack

攻撃者は、IP データグラム長 (ip_len) が IP パケットの最大法定長 (65,535 バイト) を超えるターゲットの ICMP ping パケットを送信し、パケットがフラグメント化されます。ターゲットが IP パケットを再構築しようとすると、バッファー オーバーフローが発生し、システムのクラッシュ、フリーズ、再起動が発生する可能性があります。

IP Bad option attack

攻撃者は、不適切な形式のIPv4オプションまたはIPv6拡張ヘッダーを使用してターゲットパケットを送信します。これは、ルーターとターゲットの IP スタックの実装によっては、予期しない問題を引き起こす可能性があります。

IPv4 options

攻撃者は、サービス拒否攻撃に IPv4 オプションを悪意を持って使用できます。

IPv6 extension headers

攻撃者は、拡張ヘッダーをサービス拒否攻撃やフィルターのバイパスに悪意を持って使用できます。

IP teardrop attack

攻撃者は、重複するターゲットのフラグメント化されたIPパケットを送信します。ターゲットマシンは、パケットを再構築しようとするときにリソースを使い果たし、有効なトラフィックを処理できなくなります。

IP unknown protocol attack

攻撃者は、IPv4の場合は137、IPv6の場合は139を超えるプロトコル番号でターゲットパケットを送信します。不明なプロトコルが悪意のある可能性があります。

Land attack

攻撃者は、宛先と送信元の両方のIPアドレスとしてターゲットのIPアドレスを含むターゲットのなりすましSYNパケットを送信します。ターゲットは、自分自身に繰り返し返信するため、リソースを使い果たします。陸上攻撃の別のバリエーションでは、SYNパケットにも同じ送信元ポートと宛先ポートが含まれています。

SYN fragment attack

攻撃者は、ターゲットの SYN パケットフラグメントを送信します。ターゲットは SYN フラグメントをキャッシュし、残りのフラグメントが到着するのを待って、それらを再構築して接続を完了できるようにします。SYNフラグメントの洪水は、最終的にホストのメモリバッファをいっぱいにし、有効なトラフィック接続を妨げます。

TCP FIN No ACK attack

攻撃者は、FINビットは設定されているが、ACKビットが設定されていないターゲットTCPパケットを送信します。これにより、攻撃者はターゲットのオペレーティングシステムを識別したり、ターゲットで開いているポートを特定したりできます。

TCP no flag attack

攻撃者は、フラグを含まないターゲットTCPパケットを送信します。これにより、TCP スタックの実装によっては、ターゲットで予期しない動作が発生する可能性があります。

TCP SYN FIN attack

攻撃者は、SYNビットとFINビットの両方が設定されたターゲットTCPパケットを送信します。これにより、TCP スタックの実装によっては、ターゲットで予期しない動作が発生する可能性があります。

TCP WinNuke attack

攻撃者は、緊急(URG)フラグが設定されたTCPセグメントを、Windowsを実行しているターゲットのポート139に送信します。これにより、ターゲット マシンがクラッシュする可能性があります。

ヘッダー異常攻撃

ヘッダー異常攻撃から保護するため、IDSルール、ステートフルファイアウォールルール、またはNATルールを設定してサービスセットに適用すると、ヘッダーの整合性チェックが自動的に実行されます。サービス セットに IDS ルール、ステートフル ファイアウォール ルール、または NAT ルールを割り当てない場合は、サービス セットのヘッダー整合性チェックを明示的に設定することもできます。

ヘッダー整合性チェックは、次のヘッダー異常攻撃に対する保護を提供します。

ICMP Ping of death attack

攻撃者は、IP データグラム長 (ip_len) が IP パケットの最大法定長 (65,535 バイト) を超えるターゲットの ICMP ping パケットを送信し、パケットがフラグメント化されます。ターゲットが IP パケットを再構築しようとすると、バッファー オーバーフローが発生し、システムのクラッシュ、フリーズ、再起動が発生する可能性があります。

IP unknown protocol attack

攻撃者は、IPv4の場合は137、IPv6の場合は139を超えるプロトコル番号でターゲットパケットを送信します。不明なプロトコルが悪意のある可能性があります。

TCP no flag attack

攻撃者は、フラグを含まないターゲットTCPパケットを送信します。これにより、TCP スタックの実装によっては、ターゲットで予期しない動作が発生する可能性があります。

TCP SYN FIN attack

攻撃者は、SYNビットとFINビットの両方が設定されたターゲットTCPパケットを送信します。これにより、TCP スタックの実装によっては、ターゲットで予期しない動作が発生する可能性があります。

TCP FIN No ACK attack

攻撃者は、FINビットは設定されているが、ACKビットが設定されていないターゲットTCPパケットを送信します。これにより、攻撃者はターゲットのオペレーティングシステムを識別したり、ターゲットで開いているポートを特定したりできます。

MS-MPCに対するネットワーク攻撃に対する保護の設定

このトピックでは、MS-MPC の使用時にネットワーク攻撃から保護する方法について説明します。

ネットワークプロービング、ネットワークフラッディング、および疑わしいパターン攻撃に対する保護の設定

ネットワーク プローブ攻撃、ネットワーク フラッディング攻撃、および疑わしいパターン攻撃に対する保護を構成するには、侵入検出サービス (IDS) ルールを構成し、そのルールを MS-MPC 上のサービス セットに適用します。IDS ルールの最初の条件のみが使用され、サービス セットの最初の IDS 入力ルールと最初の IDS 出力ルールのみが使用されます。

ネットワークプロービング、ネットワークフラッディング、および疑わしいパターン攻撃に対する保護を構成するには、以下が含まれます。

IDS ルール名と方向の設定

IDSルールごとに、名前とそれが適用されるトラフィックの方向を設定する必要があります。

IDS ルールの名前と方向を設定するには:

  1. IDS ルールの名前を指定します。
  2. IDSルールを入力トラフィック、出力トラフィック、またはその両方に適用するかどうかを指定します。

サブネットのセッション制限の設定

個々のアドレスではなく、個々の宛先サブネットまたは送信元サブネットとの間のすべての攻撃の集約にセッション制限を適用する場合は、集約を構成します。

サブネットアグリゲーションを設定するには:

  • 個々の IPv4 サブネット内からのすべての攻撃の集合体にセッション制限を適用する場合は、サブネット プレフィックス長を指定します。範囲は 1 から 32 からです。

    例えば、次のステートメントは、IPv4 プレフィックス長を 24 に設定しており、10.1.1.2 および 10.1.1.3 からの攻撃は 10.1.1/24 サブネットからの攻撃としてカウントされます。

    ただし、サブネット上の 1 つのホストが多数のネットワークプローブ攻撃またはフラッディング攻撃を生成すると、サブネット全体のフローが停止する可能性があります。

  • 個々の IPv6 サブネット内からのすべての攻撃の集合体にセッション制限を適用する場合は、サブネットのプレフィックス長を指定します。範囲は 1 から 128 からです。

    例えば、次のステートメントは、IPv6 プレフィックス長を 64 に設定しており、2001:db8:1234:72a2::2 および 2001:db8:1234:72a2::3 からの攻撃は、2001:db8:1234:72a2::/64 サブネットからの攻撃としてカウントされます。

    ただし、サブネット上の 1 つのホストが多数のネットワークプローブ攻撃またはフラッディング攻撃を生成すると、サブネット全体のフローが停止する可能性があります。

  • 個々の IPv4 サブネットに対するすべての攻撃の集合体にセッション制限を適用する場合は、サブネットのプレフィックス長を指定します。範囲は 1 から 32 からです。

    例えば、次のステートメントは、IPv4 プレフィックス長を 24 に設定しており、10.1.1.2 および 10.1.1.3 への攻撃は 10.1.1/24 サブネットへの攻撃としてカウントされます。

  • 個々の IPv6 サブネットに対するすべての攻撃の集合体にセッション制限を適用する場合は、サブネット プレフィックス長を指定します。範囲は 1 から 128 からです。

    例えば、次のステートメントは、IPv6 プレフィックス長を 64 に設定しており、2001:db8:1234:72a2::2 および 2001:db8:1234:72a2::3 への攻撃は 2001:db8:1234:72a2::/64 サブネットへの攻撃としてカウントされます。

プロトコルに依存しないセッション制限の設定

個々の宛先へのトラフィック、またはプロトコルとは無関係の個々のソースからのトラフィックのセッション制限を設定する場合は、以下のタスクを 1 つ以上実行します。

  • プロトコルに依存しない送信元 IP アドレスまたはサブネットのセッション制限を構成するには:
    • 個々の送信元 IP アドレスまたはサブネットから許可される同時セッションの最大数を設定します。

    • 個々の送信元 IP アドレスまたはサブネットから許可されるパケット数/秒の最大数を設定します。

    • 個々の送信元 IP アドレスまたはサブネットから許可される 1 秒あたりの最大接続数を構成します。

  • プロトコルに依存しない宛先 IP アドレスまたはサブネットのセッション制限を構成するには:
    • 個々の宛先 IP アドレスまたはサブネットに対して許可される同時セッションの最大数を設定します。

    • 個々の宛先 IP アドレスまたはサブネットに対して許可される 1 秒あたりの最大パケット数を構成します。

    • 個々の宛先 IP アドレスまたはサブネットに対して許可される 1 秒あたりの最大接続数を構成します。

ICMPアドレススイープ保護の設定

ICMP アドレス スイープに対する保護を設定するには、送信元で許可される ICMP 同時セッションの最大数、1 秒あたりのパケット数、1 秒あたりの接続数を任意の組み合わせで設定します。

  • 個々の送信元 IP アドレスまたはサブネットから許可される同時 ICMP セッションの最大数を設定します。
  • 個々の送信元 IP アドレスまたはサブネットから許可される ICMP パケットの最大数/秒を構成します。
  • 個々の送信元 IP アドレスまたはサブネットから許可される ICMP 接続の最大数/秒を構成します。

TCP ポート スキャナ保護の設定

TCPポートスキャナー攻撃に対する保護を構成するには、送信元または宛先に対して許可される最大TCP同時セッション数と1秒あたりの接続数を任意の組み合わせで構成します。

  • 個々の送信元 IP アドレスまたはサブネットから許可される同時 TCP セッションの最大数を設定します。
  • 個々の送信元 IP アドレスまたはサブネットに対して許可される TCP 接続の最大数/秒を構成します。
  • 個々の宛先 IP アドレスまたはサブネットで許可される TCP セッションの最大数を設定します。
  • 個々の宛先 IP アドレスまたはサブネットに対して許可される TCP 接続の最大数/秒を構成します。

ICMPフラッディング保護の設定

ICMPフラッディング攻撃に対する保護を設定するには、宛先で許可される最大ICMP同時セッション数、1秒あたりのパケット数、および1秒あたりの接続数の任意の組み合わせを設定します。

  • 個々の宛先 IP アドレスまたはサブネットで許可される同時 ICMP セッションの最大数を設定します。
  • 個々の宛先 IP アドレスまたはサブネットで許可される ICMP パケットの最大数/秒を構成します。
  • ICMP の個々の宛先 IP アドレスまたはサブネットに許可される ICMP 接続の最大数/秒を構成します。

UDP フラッディング保護の設定

UDP フラッディング攻撃に対する保護を設定するには、宛先に対して許可される最大 UDP 同時セッション数、1 秒あたりのパケット数、1 秒あたりの接続数を任意の組み合わせで設定します。

  • 個々の宛先 IP アドレスまたはサブネットに対して許可される同時 UDP セッションの最大数を構成します。
  • 個々の宛先IPアドレスまたはサブネットに対して許可される1秒あたりのUDPパケットの最大数を設定します。
  • 個々の宛先 IP アドレスまたはサブネットに対して許可される UDP 接続の最大数/秒を構成します。

TCP SYNフラッディング保護の設定

TCP SYN フラッディング攻撃に対する保護を構成するには、送信元または宛先に対して許可される最大 TCP 同時セッション数、1 秒あたりのパケット数、および 1 秒あたりの接続数の任意の組み合わせを構成します。タイムアウト後に確立されていない TCP 接続を閉じるように構成することもできます。

  • 個々の送信元 IP アドレスまたはサブネットから許可される同時 TCP セッションの最大数を設定します。
  • 個々の送信元 IP アドレスまたはサブネットから許可される TCP パケット/秒の最大数を構成します。
  • 個々の送信元 IP アドレスまたはサブネットから許可される TCP 接続の最大数/秒を構成します。
  • 個々の宛先 IP アドレスまたはサブネットに対して許可される同時 TCP セッションの最大数を構成します。
  • 個々の宛先 IP アドレスまたはサブネットに対して許可される TCP 接続の最大数/秒を構成します。
  • 個々の宛先 IP アドレスまたはサブネットに対して許可される TCP パケット/秒の最大数を構成します。
  • 階層レベルの値が[edit interfaces interface-name service-options]期限切れになったときにopen-timeout、エンドホストの TCP 状態をクリアするために、確立されていない TCP 接続の終了とエンドホストへの TCP RST の配信を構成します。

ICMP フラグメンテーション保護の設定

ICMPフラグメンテーション攻撃から保護するには:

  • IP フラグメントである ICMP パケットの識別とドロップを設定します。

ICMPラージパケットプロテクションの設定

ICMPラージパケット攻撃から保護するには:

  • 1024 バイトを超える ICMP パケットの識別とドロップを設定します。

IP不正オプション保護の設定

不正なIPv4オプションやIPv6拡張ヘッダー攻撃から保護するには、以下を行います。

  1. パケットに含めることができる IPv4 オプションのタイプを設定します。パケットに設定されていないオプションが含まれている場合、パケットはブロックされます。パケットに、長さが無効な値である設定済みオプションが含まれている場合、パケットはドロップされます。を指定すると any 、すべてのオプションが許可されます。

    サポートされている anyIPv4 オプションは、 、 、 securityroute-recordloose-source-routestream-idstrict-source-routetimestampです。

    IDS ルールに ステートメントを含め allow-ip-options ない場合、任意のタイプの IPv4 オプションを持つパケットはブロックされます。

  2. パケットに含めることができる IPv6 拡張ヘッダーのタイプを構成します。パケットに設定されていない拡張ヘッダーが含まれている場合、パケットはブロックされます。パケットに正しくない設定済み拡張ヘッダーが含まれている場合、パケットはドロップされます。指定すると any 、すべての拡張ヘッダーが許可されます。

    サポートされている IPv6 拡張ヘッダーはany、 、 、 dstoptsespahmobilityfragmenthop-by-hoproutingです。

    IDS ルールにこの allow-ipv6-extension-header ステートメントを含めない場合、任意のタイプの拡張ヘッダーを持つパケットは破棄されます。

陸上攻撃防御の設定

陸上攻撃から保護するには:

  • 送信元と宛先の IP アドレスが同じ、または送信元と宛先の IP アドレスとポートが同じである SYN パケットの識別と破棄を設定します。

    パケットの送信元および宛先IPアドレスが同じになるように指定するには オプションを使用し ip-only 、パケットの送信元および宛先IPアドレスとポートが同じになるように指定するには オプションを使用します ip-port

TCP SYNフラグメント保護の設定

TCP SYN フラグメント攻撃から保護するには:

  • IP フラグメントである TCP SYN パケットの識別とドロップを構成します。

WinNuke 保護を構成する

WinNuke 攻撃から保護するには、次の手順を実行します。

  • ポート 139 を宛先とし、緊急(URG)フラグが設定されている TCP セグメントの識別とドロップを構成します。

サービスセットの設定

IDS ルールアクションをサービスセットに適用するには:

  1. MS-MPC 上のサービス セットに IDS ルールを割り当てます。

    サービス・セットが AMS インターフェースに関連付けられている場合、構成するセッション制限が各メンバー・インターフェースに適用されます。

  2. ステートフルファイアウォールルールを設定して、IDSルールが処理するパケットを制限します(ステートフルファイアウォールルールの設定を参照)。ステートフルファイアウォールルールでは、IDS 処理を行うトラフィックと IDS 処理をスキップするトラフィックのいずれかを指定できます。
    • ステートフルファイアウォールルールに一致するトラフィックでIDS処理を許可するには、階層レベルでを含め accept ます [edit services stateful-firewall rule rule-name term term-name then]

    • ステートフルファイアウォールルールに一致するトラフィックのIDS処理をスキップするには、階層レベルに [edit services stateful-firewall rule rule-name term term-name then] を含めaccept skip-idsます。

  3. ステートフルファイアウォールルールをサービスセットに割り当てます。

ヘッダー異常攻撃に対する保護の設定

以下のいずれかの方法を使用して、ヘッダー整合性チェックを有効にし、ヘッダー異常のあるパケットをドロップすることで、ヘッダー異常攻撃から保護します。

  • ステートフル ファイアウォール ルール、NAT ルール、または IDS ルールを設定し、MS-MPC 上のサービス セットに適用します。ヘッダーの整合性チェックは自動的に有効になります。
  • MS-MPC 上のサービス セットのヘッダー整合性チェックを設定します。

MS-MPC でのネットワーク攻撃防御パケット ドロップのロギングの設定

MS-MPC によって実行されたヘッダー整合性、疑わしいパケット パターン、およびセッション制限チェックに起因するパケット ドロップのロギングを設定するには:

  1. ヘッダーの整合性障害や疑わしいパケットパターンに起因するパケットドロップのロギングを設定します。
  2. セッション制限違反に起因するパケットドロップのロギングを設定します。