차세대 서비스를 위한 IDS 스크리닝으로 네트워크 공격 차단 구성

IDS 화면 이름, 방향 및 알람 옵션 구성

IDS 화면 이름, 트래픽 방향 및 알람(옵션)을 구성합니다.

IDS 화면의 이름을 지정합니다.

IDS 화면이 입력 트래픽, 출력 트래픽 또는 둘 다에 적용되는지 여부를 지정합니다.

패킷이 세션 제한을 초과할 때 패킷이 손실되지 않고 IDS 화면에 알람이 기록되도록 하려면 을 구성합니다 alarm-without-drop.

IDS 화면에서 세션 제한 구성

IDS 화면을 사용하여 개별 주소 또는 서브넷에서 개별 주소 또는 서브넷으로의 트래픽에 대한 세션 제한을 설정할 수 있습니다. 이를 통해 네트워크 프로빙 및 플러딩 공격을 방어할 수 있습니다. 표 1 에는 일반적인 네트워크 프로빙 및 플러딩 공격으로부터 보호하는 세션 제한 옵션이 나와 있습니다.

표 1: 네트워크 공격 유형에 대한 IDS 화면 옵션
네트워크 공격 유형	`[edit services screen ids-options screen-name limit-sessions]` 설정할 옵션
ICMP 주소 스윕	by-source by-protocol icmp { maximum-sessions `number`; packet-rate `number`; session-rate `number`; }
ICMP 플러드	by-destination by-protocol icmp { maximum-sessions `number`; packet-rate `number`; session-rate `number`; }
TCP 포트 스캔	(by-destination \| by-source) by-protocol tcp { maximum-sessions `number`; packet-rate `number`; }
TCP SYN 플러드	(by-destination \| by-source) by-protocol tcp { maximum-sessions `number`; packet-rate `number`; session-rate `number`; }
UDP 플러드	by-destination by-protocol udp { maximum-sessions `number`; packet-rate `number`; session-rate `number`; }

IDS 화면에서 세션 제한을 구성하려면,

개별 주소가 아닌 개별 대상 서브넷 또는 개별 소스 서브넷에 대한 모든 세션의 어그리게이션에 세션 제한을 적용하려면 어그리게이션을 구성합니다.
1. 개별 IPv4 서브넷 내의 모든 세션 어그리게이션에 세션 제한을 적용하려면 서브넷 접두사 길이를 지정합니다. 범위는 1에서 32 사이입니다.
  예를 들어 다음 문은 IPv4 접두사 길이를 24로 구성하고 192.0.2.2 및 192.0.2.3의 세션은 192.0.2.0/24/24 서브넷의 세션으로 계산됩니다.
2. 개별 IPv6 서브넷 내의 모든 세션 어그리게이션에 세션 제한을 적용하려면 서브넷 접두사 길이를 지정합니다. 범위는 1에서 128까지입니다.
  예를 들어 다음 문은 IPv6 접두사 길이를 64로 구성하고 2001:db8:1234:72a2::2 및 2001:db8:1234:72a2::3의 세션은 2001:db8:1234:72a2::/64 서브넷의 세션으로 계산됩니다.
3. 개별 IPv4 서브넷에 대한 모든 세션의 어그리게이션에 세션 제한을 적용하려면 서브넷 접두사 길이를 지정합니다. 범위는 1에서 32 사이입니다.
4. 개별 IPv6 서브넷에 대한 모든 세션의 어그리게이션에 세션 제한을 적용하려면 서브넷 접두사 길이를 지정합니다. 범위는 1에서 128까지입니다.
특정 IP 프로토콜에 대한 소스의 세션 제한을 적용하려는 경우:If you want to apply session limits from a source for a particular IP protocol:
1. 특정 IP 프로토콜에 대해 개별 소스 IP 주소 또는 서브넷에서 허용되는 최대 동시 세션 수를 구성합니다.
2. 특정 프로토콜에 대해 개별 소스 IP 주소 또는 서브넷에서 허용되는 초당 최대 패킷 수를 구성합니다.
3. 특정 프로토콜에 대해 개별 소스 IP 주소 또는 서브넷에서 허용되는 초당 최대 연결 수를 구성합니다.
특정 IP 프로토콜의 대상에 세션 제한을 적용하려는 경우:
1. 특정 IP 프로토콜에 대한 개별 대상 IP 주소 또는 서브넷에 허용되는 최대 동시 세션 수를 구성합니다.
2. 특정 프로토콜에 대해 개별 대상 IP 주소 또는 서브넷에 허용되는 초당 최대 패킷 수를 구성합니다.
3. 특정 프로토콜에 대해 개별 대상 IP 주소 또는 서브넷에 허용되는 초당 최대 연결 수를 구성합니다.
IP 프로토콜에 관계없이 소스에서 세션 제한을 적용하려는 경우:
1. 개별 소스 IP 주소 또는 서브넷에서 허용되는 최대 동시 세션 수를 구성합니다.
2. 개별 소스 IP 주소 또는 서브넷에서 허용되는 초당 최대 패킷 수를 구성합니다
3. 개별 소스 IP 주소 또는 서브넷에서 허용되는 초당 최대 연결 수를 구성합니다.
IP 프로토콜에 관계없이 대상에 세션 제한을 적용하려는 경우:
1. 개별 대상 IP 주소 또는 서브넷에 허용되는 최대 동시 세션 수를 구성합니다.
2. 개별 대상 IP 주소 또는 서브넷에 허용되는 초당 최대 패킷 수를 구성합니다
3. 개별 대상 IP 주소 또는 서브넷에 허용되는 초당 최대 연결 수를 구성합니다.
의심스러운 트래픽에 대해 라인 카드의 PFE에 동적 필터 설치를 트리거하는 서비스 카드 CPU 사용률을 지정합니다. 기본값은 90입니다.
CPU 사용률 임계값 외에도 개별 소스 또는 대상 주소에 대한 패킷 속도 또는 연결 속도는 동적 필터를 설치하기 전에 IDS 화면에서 세션 제한의 4배를 초과해야 합니다. 동적 필터는 서브넷 어그리게이션을 사용하는 IDS 화면에서 생성되지 않습니다.

동적 필터는 IDS 화면에서 트래픽을 처리하지 않고 PFE에서 의심스러운 트래픽을 드롭합니다. 패킷 또는 연결 속도가 더 이상 IDS 화면의 제한의 4배를 초과하지 않으면 동적 필터가 제거됩니다.

IDS 화면에서 의심스러운 패킷 패턴 탐지 구성

IDS 화면을 사용하여 의심스러운 패킷을 식별하고 삭제할 수 있습니다. 이는 서비스 거부 공격을 시작하기 위해 비정상적인 패킷을 생성하는 공격자로부터 보호합니다.

의심스러운 패턴 탐지 구성 방법:

ICMP 단편화 공격으로부터 보호하려면 IP 조각인 ICMP 패킷을 식별하고 삭제해야 합니다.
이상 ICMPv6 패킷을 식별하여 삭제하려면 을(를) 구성해야 icmpv6-malformed합니다.
ICMP 대규모 패킷 공격으로부터 보호하려면 1024바이트보다 큰 ICMP 패킷을 식별하고 삭제하십시오.
죽음의 핑(ping) 공격으로부터 보호하려면 너무 크고 불규칙한 ICMP 패킷을 식별하여 삭제하십시오.
잘못된 옵션 공격으로부터 보호하려면 형식이 잘못된 IPv4 옵션 또는 IPv6 확장 헤더가 있는 패킷을 식별 및 삭제해야 합니다.
단편화된 IP 패킷을 식별 및 삭제하려면 을(를) 구성 block-frag하십시오.

특정 확장 헤더 값을 가진 IPv6 패킷을 삭제하려면 값을 지정합니다.

다음 헤더 값을 구성할 수 있습니다.

ah-header

인증 헤더 확장 헤더

esp-header

Encapsulating Security Payload 확장 헤더

fragment-header

조각 헤더 확장 헤더

hop-by-hop-header

Hop-by-Hop 옵션을 지정된 옵션으로 바꿉니다.

CALIPSO-option	공통 아키텍처 레이블 IPv6 보안 옵션
jumbo-payload-option	IPv6 점보 페이로드 옵션
quick-start-option	IPv6 빠른 시작 옵션
router-alert-option	IPv6 라우터 경고 옵션
RPL-option	저전력 및 손실 네트워크에 대한 라우팅 프로토콜 옵션
SFM-DPD-option	간소화된 멀티캐스트 포워딩 IPv6 중복 패킷 탐지 옵션
user-defined-option-type `type-low` to `type-high`	다양한 헤더 유형 범위는 1에서 255까지입니다.

mobility-header

모빌리티 헤더 확장 헤더입니다.

routing-header

라우팅 헤더 확장 헤더입니다.

특정 IPv4 옵션 값을 가진 IPv4 패킷을 드롭하려면 값을 지정합니다.

다음과 같은 IPv4 옵션 값을 구성할 수 있습니다.

loose-source-route-option	IP 옵션 3(Loose Source Routing)
record-route-option	IP 옵션 7(레코드 경로)
security-option	IP 옵션 2(보안)
source-route-option	IP 옵션 3(Loose Source Routing) 또는 IP 옵션 9(Strict Source Routing)
stream-option	IP 옵션 8(스트림 ID)
strict-source-route-option	IP 옵션 9(Strict Source Routing)
timestamp-option	IP 옵션 4개(인터넷 타임스탬프)

IP 티어드롭 공격으로부터 보호하려면 겹치는 단편화된 IP 패킷을 식별하여 삭제해야 합니다.
알 수 없는 IP 프로토콜 공격으로부터 보호하려면 프로토콜 번호가 IPv4의 경우 137보다 크고 IPv6의 경우 139보다 큰 IP 프레임을 식별하여 삭제합니다.
TCP FIN No ACK 공격으로부터 보호하려면 FIN 플래그가 설정되고 ACK 플래그가 설정되지 않은 패킷을 식별하고 삭제합니다.
랜드 공격으로부터 보호하려면 원본 및 대상 주소 또는 포트가 동일한 SYN 패킷을 식별하고 삭제해야 합니다.
TCP SYN ACK ACK 공격으로부터 보호하려면 IP 주소에서 완료되지 않고 열 수 있는 최대 연결 수를 구성합니다.
TCP SYN FIN 공격으로부터 보호하려면 SYN 및 FIN 플래그가 모두 설정된 패킷을 식별하고 삭제해야 합니다.
SYN 조각 공격으로부터 보호하려면 SYN 패킷 조각을 식별 및 삭제합니다.
TCP 플래그 없음 공격으로부터 보호하려면 플래그 필드가 설정되지 않은 TCP 패킷을 식별하여 삭제하십시오.
TCP WinNuke 공격으로부터 보호하려면 포트 139로 향하고 긴급(URG) 플래그가 설정된 TCP 세그먼트를 식별하고 삭제합니다.

IDS에 대한 서비스 세트 구성

IDS 화면을 적용할 서비스 세트를 구성합니다.

서비스 세트에 IDS 화면을 할당합니다.
서비스 집합이 AMS 인터페이스와 연결된 경우, 구성하는 세션 제한이 각 멤버 인터페이스에 적용됩니다.
스테이트풀 방화벽 규칙을 구성하여 IDS 화면이 처리하는 패킷을 제한합니다. 상태 저장 방화벽 규칙은 IDS 처리를 거쳐야 하는 트래픽 또는 IDS 처리를 건너뛰어야 하는 트래픽을 식별할 수 있습니다.
- 상태 저장 방화벽 규칙과 일치하는 트래픽에 대해 IDS 처리를 허용하려면 계층 수준에서 을(를[edit services stateful-firewall rule rule-name term term-name then]) 포함합니다accept.
- 상태 저장 방화벽 규칙과 일치하는 트래픽에 대한 IDS 처리를 건너뛰려면 계층 수준에서 을(를[edit services stateful-firewall rule rule-name term term-name then]) 포함합니다accept skip-ids.

서비스 세트에 스테이트풀 방화벽 규칙을 할당합니다.

헤더 이상 공격으로부터 보호하려면 서비스 세트에 대한 헤더 무결성 검사를 구성합니다.

이 페이지 내용

차세대 서비스를 위한 IDS 스크리닝으로 네트워크 공격 차단 구성

IDS 화면 이름, 방향 및 알람 옵션 구성

IDS 화면에서 세션 제한 구성

IDS 화면에서 의심스러운 패킷 패턴 탐지 구성

IDS에 대한 서비스 세트 구성

관련 설명서