次世代サービスのIDS画面を使用したネットワーク攻撃防御の設定

IDS スクリーン名、方向、アラームオプションの設定

IDS スクリーン名、トラフィック方向、オプションのアラームを設定します。

IDS 画面の名前を指定します。

IDS 画面を入力トラフィック、出力トラフィック、またはその両方のいずれに適用するかを指定します。
パケットがセッション制限を超えたときに、パケットをドロップするのではなく、IDS 画面にアラームをログに記録する場合は、 alarm-without-drop を設定します。

[IDS] 画面でのセッション制限の設定

IDS 画面を使用して、個々のアドレスまたはサブネットからのトラフィック、および個々のアドレスまたはサブネットへのトラフィックのセッション制限を設定できます。これにより、ネットワークプローブ攻撃やフラッディング攻撃から保護します。表 1 は、一般的なネットワークプローブ攻撃およびフラッディング攻撃から保護するセッション制限オプションを示しています。

表 1:ネットワーク攻撃の IDS 画面オプション種類
ネットワーク攻撃の種類	`[edit services screen ids-options screen-name limit-sessions]` 設定するオプション
ICMP アドレススイープ	by-source by-protocol icmp { maximum-sessions `number`; packet-rate `number`; session-rate `number`; }
ICMPフラッド	by-destination by-protocol icmp { maximum-sessions `number`; packet-rate `number`; session-rate `number`; }
TCPポートスキャン	(by-destination \| by-source) by-protocol tcp { maximum-sessions `number`; packet-rate `number`; }
TCP SYNフラッド	(by-destination \| by-source) by-protocol tcp { maximum-sessions `number`; packet-rate `number`; session-rate `number`; }
UDPフラッド	by-destination by-protocol udp { maximum-sessions `number`; packet-rate `number`; session-rate `number`; }

IDS 画面でセッション制限を構成するには:

個々のアドレスではなく、個々の宛先サブネットまたは個々の送信元サブネットからのすべてのセッションの集約にセッション制限を適用する場合は、集約を構成します。
1. 個々の IPv4 サブネット内からのすべてのセッションの集合体にセッション制限を適用するには、サブネットのプレフィックス長を指定します。範囲は 1 から 32 からです。
  例えば、以下のステートメントは IPv4 プレフィックス長を 24 に設定し、192.0.2.2 および 192.0.2.3 からのセッションは 192.0.2.0/24/24 サブネットからのセッションとしてカウントされます。
2. 個々の IPv6 サブネット内からのすべてのセッションの集合体にセッション制限を適用するには、サブネットのプレフィックス長を指定します。範囲は 1 から 128 からです。
  例えば、以下のステートメントは IPv6 のプレフィックス長を 64 に設定し、2001:db8:1234:72a2::2 および 2001:db8:1234:72a2::3 からのセッションは 2001:db8:1234:72a2::/64 サブネットからのセッションとしてカウントされます。
3. 個々の IPv4 サブネットに対するすべてのセッションのアグリゲーションにセッション制限を適用するには、サブネットのプレフィックス長を指定します。範囲は 1 から 32 からです。
4. 個々の IPv6 サブネットに対するすべてのセッションのアグリゲーションにセッション制限を適用するには、サブネットのプレフィックス長を指定します。範囲は 1 から 128 からです。
特定の IPプロトコルの送信元からのセッション制限を適用する場合は、次のようにします。
1. 特定のIPプロトコルについて、個々の送信元 IP アドレスまたはサブネットから許可される同時セッションの最大数を構成します。
2. 特定のプロトコルについて、個々の送信元 IP アドレスまたはサブネットから許可される 1 秒あたりの最大パケット数を設定します。
3. 特定のプロトコルの個々の送信元 IP アドレスまたはサブネットから許可される 1 秒あたりの最大接続数を構成します。
特定の IPプロトコルの宛先にセッション制限を適用する場合は、次のようにします。
1. 特定のIPプロトコルの個々のIP アドレスまたはサブネットに許可される同時セッションの最大数を設定します。
2. 特定のプロトコルの個々のIP アドレスまたはサブネットに許可される 1 秒あたりの最大パケット数を設定します。
3. 特定のプロトコルの個々のIP アドレスまたはサブネットに対して許可される 1 秒あたりの最大接続数を設定します。
IPプロトコルに関係なく、送信元からセッション制限を適用する場合:
1. 個々の送信元 IP アドレスまたはサブネットから許可される同時セッションの最大数を構成します。
2. 個々の送信元 IP アドレスまたはサブネットから許可される 1 秒あたりの最大パケット数を設定します
3. 個々の送信元 IP アドレスまたはサブネットから許可される 1 秒あたりの最大接続数を構成します。
IPプロトコルに関係なく、宛先にセッション制限を適用する場合は、次のようにします。
1. 個々のIP アドレスまたはサブネットに許可される同時セッションの最大数を構成します。
2. 個々のIP アドレスまたはサブネットに許可される 1 秒あたりの最大パケット数を設定します
3. 個々のIP アドレスまたはサブネットに対して許可される 1 秒あたりの最大接続数を構成します。
不審なトラフィックに対して、ラインカードのPFEへのダイナミックフィルターのインストールをトリガーするサービスカードのCPU使用率(%)を指定します。デフォルト値は 90 です。
CPU 使用率のパーセンテージのしきい値に加えて、動的フィルターがインストールされる前に、個々の送信元または宛先アドレスのパケットレートまたは接続レートが IDS 画面のセッション制限の 4 倍を超える必要があります。動的フィルターは、サブネット集約を使用する IDS 画面からは作成されません。

動的フィルターは、IDS画面でトラフィックを処理せずに、疑わしいトラフィックをPFEでドロップします。パケットまたは接続レートが IDS 画面の制限値の 4 倍を超えなくなると、動的フィルターが削除されます。

IDS 画面での不審パケットパターン検出の設定

IDS画面を使用して、不審なパケットを特定してドロップできます。これにより、通常とは異なるパケットを作成してサービス拒否攻撃を仕掛けようとする攻撃者から保護できます。

不審なパターン検出を設定するには:

ICMP フラグメンテーション攻撃から保護するには、IP フラグメントである ICMP パケットを識別してドロップします。
不正な ICMPv6 パケットを特定してドロップするには、 icmpv6-malformed を設定します。
ICMP ラージパケット攻撃から保護するには、1024 バイトを超える ICMP パケットを特定してドロップします。
ping of death攻撃から保護するために、オーバーサイズで不規則なICMPパケットを特定してドロップします。
不正なオプション攻撃から保護するために、IPv4 オプションまたは IPv6 拡張ヘッダーの形式が正しくないパケットを識別してドロップします。
フラグメント化されたIPパケットを特定してドロップするには、 block-fragを設定します。

特定の拡張ヘッダー値を持つ IPv6 パケットをドロップするには、値を指定します。

次のヘッダー値を設定できます。

ah-header

認証ヘッダー拡張ヘッダー

esp-header

セキュリティペイロード拡張ヘッダーのカプセル化

fragment-header

フラグメントヘッダー拡張ヘッダー

hop-by-hop-header

Hop-by-Hop オプションと指定されたオプション:

CALIPSO-option	共通アーキテクチャラベルIPv6セキュリティオプション
jumbo-payload-option	IPv6ジャンボペイロードオプション
quick-start-option	IPv6クイックスタートオプション
router-alert-option	IPv6ルーターのアラートオプション
RPL-option	低電力およびロスの多いネットワーク用ルーティングプロトコルオプション
SFM-DPD-option	Simplified Multiiticast Forwarding IPv6 重複パケット検出オプション
user-defined-option-type `type-low` to `type-high`	さまざまなヘッダータイプ範囲: 1 から 255。

mobility-header

モビリティヘッダー拡張ヘッダー。

routing-header

ルーティングヘッダー拡張ヘッダー。

特定の IPv4 オプション値を持つ IPv4 パケットをドロップするには、値を指定します。

以下のIPv4オプション値を設定できます。

loose-source-route-option	IP オプション 3(ルーズソースルーティング)
record-route-option	IP オプション 7 (Record Route)
security-option	IP オプション 2 (セキュリティ)
source-route-option	IP オプション 3(ルーズソースルーティング)または IP オプション 9(ストリクトソースルーティング)
stream-option	IP オプション 8(ストリーム ID)
strict-source-route-option	IP オプション 9(ストリクトソースルーティング)
timestamp-option	IP オプション 4(インターネットタイムスタンプ)

IPティアドロップ攻撃から保護するには、重複するフラグメント化されたIPパケットを特定してドロップします。
IP の未知のプロトコル攻撃から保護するには、IPv4 では 137、IPv6 では 139 より大きいプロトコル番号を持つ IP フレームを特定してドロップします。
TCP FIN No ACK 攻撃から保護するには、FIN フラグが設定されているパケットと ACK フラグが設定されていないパケットを識別してドロップします。
ランド攻撃から保護するために、同じ送信元および宛先アドレスまたはポートを持つSYNパケットを特定してドロップします。
TCP SYN ACK ACK 攻撃から保護するために、完了せずに開くことができる IP アドレスからの接続の最大数を構成します。
TCP SYN FIN攻撃から保護するには、SYNフラグとFINフラグの両方が設定されているパケットを特定してドロップします。
SYNフラグメント攻撃から保護するには、SYNパケットフラグメントを特定してドロップします。
TCPフラグなし攻撃から保護するには、フラグフィールドが設定されていないTCPパケットを識別してドロップします。
TCP WinNuke 攻撃から保護するには、ポート 139 を宛先とし、緊急 (URG) フラグが設定されている TCP セグメントを識別してドロップします。

IDS のサービスセットの設定

IDS 画面を適用するサービスセットを設定します。

IDS 画面をサービスセットに割り当てます。
サービスセットが AMS インターフェイスに関連付けられている場合、設定するセッション制限は各メンバーインターフェイスに適用されます。
ステートフルルールオプションは、ファイアウォールルールを設定して、IDS 画面が処理するパケットを制限します。ステートフルファイアウォールルールオプションは、ファイアウォールルールによって、IDS 処理を行う必要があるトラフィックと、IDS 処理をスキップすべきトラフィックのいずれかを識別できます。
- ステートフルルールオプションは、ファイアウォールルールに一致するトラフィックで IDS を処理できるようにするには、[edit services stateful-firewall rule rule-name term term-name then] 階層レベルで accept を含めます。
- ステートフルルールオプションは、ファイアウォールルールに一致するトラフィックの IDS 処理をスキップするには、[edit services stateful-firewall rule rule-name term term-name then] 階層レベルで accept skip-ids を含めます。
ステートフルルールオプションは、ファイアウォールルールをサービスセットに割り当てます。
ヘッダー異常攻撃から保護するには、サービスセットのヘッダー整合性チェックを設定します。

項目一覧

次世代サービスのIDS画面を使用したネットワーク攻撃防御の設定

IDS スクリーン名、方向、アラーム オプションの設定

[IDS] 画面でのセッション制限の設定

IDS 画面での不審パケット パターン検出の設定

IDS のサービス セットの設定

関連資料

IDS スクリーン名、方向、アラームオプションの設定

IDS 画面での不審パケットパターン検出の設定

IDS のサービスセットの設定