MS-MPCおよびMS-MICでのネットワーク攻撃保護
MS-MPCのIDSについて
侵入検知サービス
MS-MPC上の侵入検出サービス(IDS)ルールを使用すると、ネットワーク攻撃の一部であるトラフィックを特定してドロップできます。
IDSルールは、ファイアウォールフィルターやポリサーよりもきめ細かいレベルのフィルタリングを提供し、違法なTCPフラグやその他の不正なフラグの組み合わせを阻止し、一般的なレート制限を適用できます( ルーティングポリシー、ファイアウォールフィルター、およびトラフィックポリサーユーザーガイドを参照)。ファイアウォールフィルターとポリサーをIDSと一緒に使用することで、IDSルールで処理する必要があるトラフィックを削減できます。
IDSルールでは、以下を指定できます。
個々の送信元から発信されるセッション、または個々の宛先で終了するセッションの制限。これにより、ネットワークプロービング攻撃やフラッディング攻撃から保護されます。
ドロップする疑わしいパケットのタイプ。
ヘッダーの異常攻撃から保護するために、IDSルール、ステートフルファイアウォールルール、またはNATルールを設定し、それをサービスセットに適用すると、ヘッダー整合性チェックが自動的に実行されます。サービスセットにIDSルール、ステートフルファイアウォールルール、またはNATルールを割り当てていない場合、サービスセットのヘッダー整合性チェックを明示的に設定することもできます。
利点
複数のタイプのネットワーク攻撃から保護します。
セッション制限
IDSルールを使用して、個々の送信元または個々の宛先からのトラフィックのセッション制限を設定できます。これにより、ネットワークプロービング攻撃やフラッディング攻撃から保護されます。セッション制限を超えるトラフィックは破棄されます。セッション制限は、ICMPなどの特定のIPプロトコルを使用するトラフィック、または一般的なトラフィックに対して指定できます。
制限を個々のアドレスに適用するか、特定のプレフィックス長の個々のサブネットからのトラフィックのアグリゲーションに適用するかを決定します。例えば、プレフィックス長が 24 の IPv4 サブネットの制限を集計すると、192.0.2.2 および 192.0.2.3 からのトラフィックは 192.0.2.0/24 サブネットの制限に対してカウントされます。
セッション制限で防御する一般的なネットワークプローブ攻撃とフラッディング攻撃には、以下のものがあります。
| ICMP Address Sweep | 攻撃者は、ICMPリクエストプローブ(ping)を複数のターゲットに送信します。ターゲットマシンが応答すると、攻撃者はターゲットのIPアドレスを受信します。 |
| ICMP Flood | 攻撃者は、1つ以上の送信元IPアドレスから大量のICMPパケットを送信して、ターゲットマシンをフラッディングします。ターゲットマシンは、これらのICMPパケットの処理を試みるとリソースを使い果たし、有効なトラフィックを処理できなくなります。 |
| TCP Port Scan | 攻撃者は、1つの送信元からターゲットマシンの複数の宛先ポートにTCP SYNパケットを送信します。ターゲットが1つ以上の宛先ポートからSYN-ACKで応答した場合、攻撃者はターゲットでどのポートが開いているかを学習します。 |
| TCP SYN Flood | 攻撃者は、1つ以上の送信元IPアドレスから大量のTCP SYNパケットを送信して、ターゲットマシンをフラッディングします。攻撃者は、実際の送信元 IP アドレスを使用して TCP 接続を完了させたり、偽の送信元 IP アドレスを使用して TCP 接続を完了しなかったりします。ターゲットは、完了したすべてのTCP接続と未完了のTCP接続の状態を作成します。ターゲットは、接続状態を管理しようとするとリソースを使い果たし、有効なトラフィックを処理できなくなります。 |
| UDP Flood | 攻撃者は、1つ以上の送信元IPアドレスから大量のUDPパケットを送信して、ターゲットマシンをフラッディングします。ターゲットマシンは、これらのUDPパケットの処理を試みるとリソースを使い果たし、有効なトラフィックを処理できなくなります。 |
送信元または宛先へのトラフィックのセッション制限には、次のものがあります。
最大同時セッション数
1秒あたりの最大パケット数
1秒あたりの最大接続数
また、IDSは、以下の条件が発生した場合に、疑わしいアクティビティに対して、ラインカードのPFEにダイナミックフィルターをインストールします。
個々の送信元または宛先アドレス(サブネットではない)の1秒あたりのパケット数または1秒あたりの接続数のいずれかが、IDSルールのセッション制限の4倍を超えています。このセッション制限は、IDSルールの一般的な送信元または宛先の制限であり、特定のプロトコルに指定された制限ではありません。
サービスカードのCPU使用率が設定された値(デフォルト値は90%)を超えています。
動的フィルターは PFE で疑わしいトラフィックをドロップし、トラフィックは IDS ルールによって処理されるように MS-MPC に送信されません。パケットまたは接続レートが IDS ルールの制限の 4 倍を超えなくなると、動的フィルターが削除されます。
疑わしいパケットパターン
IDSルールを使用して、疑わしいパケットパターンを持つトラフィックを特定してドロップできます。これにより、通常とは異なるパケットを作成してサービス拒否攻撃を仕掛ける攻撃者から保護されます。
IDSルールで指定できる疑わしいパケットパターンと攻撃は次のとおりです。
| ICMP fragmentation attack | 攻撃者は、IPフラグメントであるターゲットICMPパケットを送信します。ICMPパケットは通常短いため、これらは疑わしいパケットとみなされます。ターゲットがこれらのパケットを受信すると、パケットの処理が不正確になったり、システム全体がクラッシュするなど、さまざまな結果が生じる可能性があります。 |
| ICMP large packet attack | 攻撃者は、IP長が1024バイトを超えるターゲットICMPフレームを送信します。ほとんどのICMPメッセージは小さいため、これらは疑わしいパケットとみなされます。 |
| ICMP Ping of death attack | 攻撃者は、IPデータグラム長(ip_len)がIPパケットの最大法定長(65,535バイト)を超えるターゲットICMP pingパケットを送信し、パケットはフラグメント化されます。ターゲットがIPパケットを再構築しようとすると、バッファオーバーフローが発生し、システムのクラッシュ、フリーズ、再起動が発生する可能性があります。 |
| IP Bad option attack | 攻撃者は、誤ったフォーマットのIPv4オプションまたはIPv6拡張ヘッダーを含むターゲットパケットを送信します。これにより、ルーターとターゲットのIPスタックの実装によっては、予期しない問題が発生する可能性があります。 |
| IPv4 options | 攻撃者は、サービス拒否攻撃にIPv4オプションを悪意を持って使用できます。 |
| IPv6 extension headers | 攻撃者は、サービス拒否攻撃やフィルターのバイパスに拡張ヘッダーを悪意を持って使用する可能性があります。 |
| IP teardrop attack | 攻撃者は、重複するターゲットのフラグメント化されたIPパケットを送信します。ターゲットマシンはパケットの再構築を試みるとリソースを使い果たし、有効なトラフィックを処理できなくなります。 |
| IP unknown protocol attack | 攻撃者は、プロトコル番号がIPv4で137より大きく、IPv6で139より大きいターゲットパケットを送信します。不明なプロトコルが悪意のある可能性があります。 |
| Land attack | 攻撃者は、宛先と送信元 IP アドレスの両方としてターゲットの IP アドレスを含むなりすまし SYN パケットを送信します。ターゲットは自分自身に繰り返し返信するため、リソースを使い果たします。LAND攻撃の別のバリエーションでは、SYNパケットにも同じ送信元ポートと宛先ポートが含まれています。 |
| SYN fragment attack | 攻撃者は、ターゲットのSYNパケットフラグメントを送信します。ターゲットはSYNフラグメントをキャッシュし、残りのフラグメントが到着するのを待機し、再アセンブリして接続を完了できるようにします。大量のSYNフラグメントが最終的にホストのメモリバッファーをいっぱいにし、有効なトラフィック接続を妨げます。 |
| TCP FIN No ACK attack | 攻撃者は、FINビットが設定されているが、ACKビットが設定されていないターゲットTCPパケットを送信します。これにより、攻撃者はターゲットのオペレーティングシステムを識別したり、ターゲットのオープンポートを識別することができます。 |
| TCP no flag attack | 攻撃者は、フラグを含まないターゲットTCPパケットを送信します。これにより、TCPスタックの実装によっては、ターゲットで予測不能な動作が発生する可能性があります。 |
| TCP SYN FIN attack | 攻撃者は、SYNビットとFINビットの両方が設定されているターゲットTCPパケットを送信します。これにより、TCPスタックの実装によっては、ターゲットで予測不能な動作が発生する可能性があります。 |
| TCP WinNuke attack | 攻撃者は、緊急(URG)フラグが設定され、Windowsを実行しているターゲットのポート139宛てにTCPセグメントを送信します。これにより、ターゲットマシンがクラッシュする可能性があります。 |
ヘッダー異常攻撃
ヘッダー異常攻撃から保護するために、IDSルール、ステートフルファイアウォールルール、またはNATルールを設定し、それをサービスセットに適用すると、ヘッダー整合性チェックが自動的に実行されます。サービスセットにIDSルール、ステートフルファイアウォールルール、またはNATルールを割り当てていない場合、サービスセットのヘッダー整合性チェックを明示的に設定することもできます。
ヘッダー整合性チェックは、以下のヘッダー異常攻撃に対する保護を提供します。
| ICMP Ping of death attack | 攻撃者は、IPデータグラム長(ip_len)がIPパケットの最大法定長(65,535バイト)を超えるターゲットICMP pingパケットを送信し、パケットはフラグメント化されます。ターゲットがIPパケットを再構築しようとすると、バッファオーバーフローが発生し、システムのクラッシュ、フリーズ、再起動が発生する可能性があります。 |
| IP unknown protocol attack | 攻撃者は、プロトコル番号がIPv4で137より大きく、IPv6で139より大きいターゲットパケットを送信します。不明なプロトコルが悪意のある可能性があります。 |
| TCP no flag attack | 攻撃者は、フラグを含まないターゲットTCPパケットを送信します。これにより、TCPスタックの実装によっては、ターゲットで予測不能な動作が発生する可能性があります。 |
| TCP SYN FIN attack | 攻撃者は、SYNビットとFINビットの両方が設定されているターゲットTCPパケットを送信します。これにより、TCPスタックの実装によっては、ターゲットで予測不能な動作が発生する可能性があります。 |
| TCP FIN No ACK attack | 攻撃者は、FINビットが設定されているが、ACKビットが設定されていないターゲットTCPパケットを送信します。これにより、攻撃者はターゲットのオペレーティングシステムを識別したり、ターゲットのオープンポートを識別することができます。 |
MS-MPCでのネットワーク攻撃に対する保護の設定
このトピックでは、MS-MPCを使用する際にネットワーク攻撃から保護する方法を説明する以下のタスクについて説明します。
ネットワークプロービング、ネットワークフラッディング、および疑わしいパターン攻撃に対する保護の設定
ネットワークプロービング攻撃、ネットワークフラッディング攻撃、および疑わしいパターン攻撃に対する保護を設定するには、侵入検出サービス(IDS)ルールを設定し、そのルールをMS-MPC上のサービスセットに適用します。IDSルールの最初の項のみが使用され、サービスセットの最初のIDS入力ルールと最初のIDS出力ルールのみが使用されます。
ネットワークプローブ、ネットワークフラッディング、不審なパターン攻撃に対する保護の設定には、以下が含まれます。
- IDSルール名と方向の設定
- サブネットのセッション制限の設定
- プロトコルに依存しないセッション制限の設定
- ICMPアドレススイープ保護の設定
- TCPポートスキャナ保護の設定
- ICMPフラッディング保護の設定
- UDPフラッディング保護の設定
- TCP SYNフラッディング保護の設定
- ICMPフラグメント化保護の設定
- ICMPラージパケット保護の設定
- IP 不正オプション保護の設定
- LAND攻撃保護の設定
- TCP SYNフラグメント保護の設定
- WinNuke保護の設定
- サービスセットの設定
IDSルール名と方向の設定
各 IDS ルールに対して、名前とそれを適用するトラフィックの方向を設定する必要があります。
IDSルールの名前と方向を設定するには:
サブネットのセッション制限の設定
個々のアドレスではなく、個々の宛先サブネットまたは送信元サブネットとの間のすべての攻撃のアグリゲーションにセッション制限を適用する場合は、アグリゲーションを設定します。
サブネットアグリゲーションを設定するには:
プロトコルに依存しないセッション制限の設定
プロトコルとは無関係に、個々の宛先または個々の送信元からのトラフィックのセッション制限を設定する場合は、以下のタスクを 1 つ以上実行します。
ICMPアドレススイープ保護の設定
ICMPアドレススイープに対する保護を設定するには、送信元に対して許可される最大ICMP同時セッション数、1秒あたりのパケット数、および1秒あたりの接続数の任意の組み合わせを設定します。
TCPポートスキャナ保護の設定
TCPポートスキャナ攻撃に対する保護を設定するには、送信元または宛先に対して1秒あたりの最大許容TCP同時セッションと接続数を任意に組み合わせて構成します。
ICMPフラッディング保護の設定
ICMPフラッディング攻撃に対する保護を設定するには、宛先で許可される最大ICMP同時セッション数、1秒あたりのパケット数、および1秒あたりの接続数の任意の組み合わせを設定します。
UDPフラッディング保護の設定
UDPフラッディング攻撃に対する保護を設定するには、宛先で許可される最大UDP同時セッション数、1秒あたりのパケット数、および1秒あたりの接続数の任意の組み合わせを設定します。
TCP SYNフラッディング保護の設定
TCP SYNフラッディング攻撃に対する保護を設定するには、送信元または宛先に対して許可される最大TCP同時セッション数、1秒あたりのパケット数、および1秒あたりの接続数の任意の組み合わせを設定します。また、タイムアウト後に未確立のTCP接続を閉じるように設定することもできます。
ICMPフラグメント化保護の設定
ICMPフラグメント化攻撃から保護するには:
IPフラグメントであるICMPパケットの識別とドロップを設定します。
[edit services ids rule rule-name term term-name then] user@host# set icmp-fragment-check
ICMPラージパケット保護の設定
ICMPラージパケット攻撃から保護するには:
1024バイトを超えるICMPパケットの識別とドロップを設定します。
[edit services ids rule rule-name term term-name then] user@host# set icmp-large-packet-check
IP 不正オプション保護の設定
不正なIPv4オプションやIPv6拡張ヘッダー攻撃から保護するには:
LAND攻撃保護の設定
陸上攻撃から保護するには:
同じ送信元と宛先IPアドレス、または同じ送信元と宛先IPアドレスとポートを持つSYNパケットの識別とドロップを設定します。
[edit services ids rule rule-name term term-name then] user@host# set land-attack-check (ip-only | ip-port)
パケットが同じ送信元と宛先IPアドレスを持つように指定するには、
ip-onlyオプションを使用します。パケットが同じ送信元と宛先IPアドレスとポートを持つように指定するには、ip-portオプションを使用します。
TCP SYNフラグメント保護の設定
TCP SYNフラグメント攻撃から保護するには:
IPフラグメントであるTCP SYNパケットの識別とドロップを設定します。
[edit services ids rule rule-name term term-name then] user@host# set tcp-syn-fragment-check
WinNuke保護の設定
WinNuke 攻撃から保護するには、次の手順に従います。
ポート 139 を宛先とし、緊急(URG)フラグが設定されている TCP セグメントの識別とドロップを設定します。
[edit services ids rule rule-name term term-name then] user@host# set tcp-winnuke-check
サービスセットの設定
サービスセットにIDSルールアクションを適用するには:
ヘッダー異常攻撃に対する保護の設定
ヘッダー異常攻撃から保護するには、以下のいずれかの方法を使用してヘッダー整合性チェックを有効にし、ヘッダー異常のあるパケットをドロップします。
MS-MPCでのネットワーク攻撃保護パケットドロップのロギングの設定
MS-MPCによって実行されたヘッダーの整合性、疑わしいパケットパターン、およびセッション制限チェックの結果としてのパケットドロップのログを設定するには: