이 주제에서는 ICMP 단편 공격의 탐지를 구성하는 방법에 대해 설명합니다.
ICMP 패킷이 크면 단편화해야 합니다. ICMP 단편 보호 화면 옵션이 활성화되면 Junos OS는 많은 단편 플래그가 설정되거나 오프셋 필드에 표시된 오프셋 값이 있는 모든 ICMP 패킷을 차단합니다.
- 인터페이스를 구성하고 인터페이스에 IP 주소를 할당합니다.
[edit]
user@host# set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.0/24
user@host# set interfaces ge-0/0/3 unit 0 family inet address 198.51.100.0/24
- 보안 영역을 trustZone untrustZone 구성하고 인터페이스를 할당합니다.
[edit]
user@host# set security zones security-zone trustZone host-inbound-traffic system-services all
user@host# set security zones security-zone trustZone host-inbound-traffic protocols all
user@host# set security zones security-zone trustZone interfaces ge-0/0/1.0
user@host# set security zones security-zone untrustZone host-inbound-traffic system-services all
user@host# set security zones security-zone untrustZone host-inbound-traffic protocols all
user@host# set security zones security-zone untrustZone interfaces ge-0/0/3.0
- 에서 untrustZone 까지 trustZone보안 정책을 구성합니다.
[edit]
user@host# set security policies from-zone untrustZone to-zone trustZone policy policy1 match source-address any
user@host# set security policies from-zone untrustZone to-zone trustZone policy policy1 match destination-address any
user@host# set security policies from-zone untrustZone to-zone trustZone policy policy1 match application any
user@host# set security policies from-zone untrustZone to-zone trustZone policy policy1 then permit
user@host# set security policies default-policy deny-all
- 보안 화면을 구성하고 에 untrustZone연결합니다.
[edit]
user@host# set security screen ids-option untrustScreen icmp fragment
user@host# set security zones security-zone untrustZone screen untrustScreen
user@host# set security screen ids-option untrustScreen alarm-without-drop
- syslog를 구성합니다.
[edit]
user@host# set system syslog file syslog any any
user@host# set system syslog file syslog archive size 10000000
user@host# set system syslog file syslog structured-data
user@host# set security policies from-zone untrustZone to-zone trustZone policy policy1 then log session-init
user@host# set security policies from-zone untrustZone to-zone trustZone policy policy1 then log session-close
- 구성을 커밋합니다.
