차세대 서비스를 위한 IDS Screens로 네트워크 공격 보호 구성

IDS 화면 이름, 방향 및 알람 옵션 구성

IDS 화면 이름, 트래픽 방향 및 선택적 알람을 구성합니다.

IDS 화면의 이름을 지정합니다.

IDS 화면을 입력 트래픽, 출력 트래픽 또는 둘 다에 적용할지 여부를 지정합니다.

패킷이 세션 제한을 초과할 때 IDS 화면에서 패킷을 삭제하지 않고 알람을 기록하도록 하려면 을 구성합니다 alarm-without-drop.

IDS 화면에서 세션 제한 구성

IDS 화면을 사용하여 개별 주소 또는 서브넷에서 개별 주소 또는 서브넷으로의 트래픽에 대한 세션 제한을 설정할 수 있습니다. 이를 통해 네트워크 프로빙 및 플러딩 공격으로부터 보호할 수 있습니다. 표 1 에는 몇 가지 일반적인 네트워크 프로빙 및 플러딩 공격으로부터 보호하는 세션 제한 옵션이 나와 있습니다.

표 1: 네트워크 공격 유형에 대한 IDS 화면 옵션
네트워크 공격 유형	`[edit services screen ids-options screen-name limit-sessions]` 설정할 옵션
ICMP 주소 스윕	by-source by-protocol icmp { maximum-sessions `number`; packet-rate `number`; session-rate `number`; }
ICMP 플러드	by-destination by-protocol icmp { maximum-sessions `number`; packet-rate `number`; session-rate `number`; }
TCP 포트 스캔	(by-destination \| by-source) by-protocol tcp { maximum-sessions `number`; packet-rate `number`; }
TCP SYN 플러드	(by-destination \| by-source) by-protocol tcp { maximum-sessions `number`; packet-rate `number`; session-rate `number`; }
UDP 플러드	by-destination by-protocol udp { maximum-sessions `number`; packet-rate `number`; session-rate `number`; }

IDS 화면에서 세션 제한을 구성하려면:

개별 주소가 아닌 개별 대상 서브넷 또는 개별 소스 서브넷에 대한 모든 세션의 어그리게이션에 세션 제한을 적용하려면 어그리게이션을 구성합니다.
1. 개별 IPv4 서브넷 내에서 모든 세션의 어그리게이션에 세션 제한을 적용하려면 서브넷 접두사 길이를 지정합니다. 범위는 1에서 32까지입니다.
  예를 들어, 다음 문은 IPv4 접두사 길이를 24로 구성하고, 192.0.2.2 및 192.0.2.3의 세션은 192.0.2.0/24/24 서브넷의 세션으로 계산됩니다.
2. 개별 IPv6 서브넷 내의 모든 세션 어그리게이션에 세션 제한을 적용하려면 서브넷 접두사 길이를 지정합니다. 범위는 1에서 128까지입니다.
  예를 들어, 다음 문은 IPv6 접두사 길이를 64로 구성하고, 2001:db8:1234:72a2::2 및 2001:db8:1234:72a2::3의 세션은 2001:db8:1234:72a2::/64 서브넷의 세션으로 계산됩니다.
3. 개별 IPv4 서브넷에 대한 모든 세션의 어그리게이션에 세션 제한을 적용하려면 서브넷 접두사 길이를 지정합니다. 범위는 1에서 32까지입니다.
4. 개별 IPv6 서브넷에 대한 모든 세션의 어그리게이션에 세션 제한을 적용하려면 서브넷 접두사 길이를 지정합니다. 범위는 1에서 128까지입니다.
특정 IP 프로토콜에 대해 소스에서 세션 제한을 적용하려는 경우:
1. 특정 IP 프로토콜에 대해 개별 소스 IP 주소 또는 서브넷에서 허용되는 최대 동시 세션 수를 구성합니다.
2. 특정 프로토콜에 대해 개별 소스 IP 주소 또는 서브넷에서 허용되는 초당 최대 패킷 수를 구성합니다.
3. 특정 프로토콜에 대해 개별 소스 IP 주소 또는 서브넷에서 허용되는 초당 최대 연결 수를 구성합니다.
특정 IP 프로토콜의 대상에 세션 제한을 적용하려는 경우:
1. 특정 IP 프로토콜에 대해 개별 대상 IP 주소 또는 서브넷에 허용되는 최대 동시 세션 수를 구성합니다.
2. 특정 프로토콜에 대해 개별 대상 IP 주소 또는 서브넷에 허용되는 초당 최대 패킷 수를 구성합니다.
3. 특정 프로토콜에 대해 개별 대상 IP 주소 또는 서브넷에 허용되는 초당 최대 연결 수를 구성합니다.
IP 프로토콜에 관계없이 소스에서 세션 제한을 적용하려는 경우:
1. 개별 소스 IP 주소 또는 서브넷에서 허용되는 최대 동시 세션 수를 구성합니다.
2. 개별 소스 IP 주소 또는 서브넷에서 허용되는 초당 최대 패킷 수를 구성합니다
3. 개별 소스 IP 주소 또는 서브넷에서 허용되는 초당 최대 연결 수를 구성합니다.
IP 프로토콜에 관계없이 대상에 세션 제한을 적용하려면:
1. 개별 대상 IP 주소 또는 서브넷에 허용되는 최대 동시 세션 수를 구성합니다.
2. 개별 대상 IP 주소 또는 서브넷에 허용되는 초당 최대 패킷 수를 구성합니다
3. 개별 대상 IP 주소 또는 서브넷에 허용되는 초당 최대 연결 수를 구성합니다.
의심스러운 트래픽에 대해 라인 카드의 PFE에 동적 필터 설치를 트리거하는 서비스 카드 CPU 사용률을 지정합니다. 기본값은 90입니다.
CPU 사용률 백분율 임계값 외에도 개별 소스 또는 대상 주소에 대한 패킷 속도 또는 연결 속도는 동적 필터가 설치되기 전에 IDS 화면의 세션 제한의 4배를 초과해야 합니다. 동적 필터는 서브넷 어그리게이션을 사용하는 IDS 화면에서 생성되지 않습니다.

동적 필터는 IDS 화면에서 트래픽을 처리하지 않고 PFE에서 의심스러운 트래픽을 삭제합니다. 패킷 또는 연결 속도가 더 이상 IDS 화면의 제한의 4배를 초과하지 않으면 동적 필터가 제거됩니다.

IDS 화면에서 의심스러운 패킷 패턴 검출 구성

IDS 스크린을 사용하여 의심스러운 패킷을 식별하고 삭제할 수 있습니다. 이를 통해 비정상적인 패킷을 만들어 서비스 거부 공격을 시작하는 공격자로부터 보호할 수 있습니다.

의심스러운 패턴 탐지를 구성하려면 다음을 수행합니다.

ICMP 단편화 공격으로부터 보호하려면 IP 단편인 ICMP 패킷을 식별하고 삭제합니다.
잘못된 형식의 ICMPv6 패킷을 식별하고 삭제하려면 를 구성합니다 icmpv6-malformed.
ICMP 대규모 패킷 공격으로부터 보호하려면 1024바이트보다 큰 ICMP 패킷을 식별하고 삭제합니다.
Ping of Death 공격으로부터 보호하려면 크기가 크고 불규칙한 ICMP 패킷을 식별하여 삭제합니다.
잘못된 옵션 공격으로부터 보호하려면 잘못된 형식의 IPv4 옵션 또는 IPv6 확장 헤더가 있는 패킷을 식별하고 삭제합니다.
단편화된 IP 패킷을 식별하고 삭제하려면 를 구성합니다 block-frag.

특정 확장 헤더 값을 가진 IPv6 패킷을 삭제하려면 값을 지정합니다.

다음과 같은 헤더 값을 구성할 수 있습니다.

ah-header

Authentication Header 확장 헤더

esp-header

보안 페이로드 확장 헤더 캡슐화

fragment-header

프래그먼트 헤더 확장 헤더

hop-by-hop-header

지정된 옵션이 있는 Hop-by-Hop 옵션:

CALIPSO-option	공통 아키텍처 레이블 IPv6 보안 옵션
jumbo-payload-option	IPv6 점보 페이로드 옵션
quick-start-option	IPv6 빠른 시작 옵션
router-alert-option	IPv6 라우터 경고 옵션
RPL-option	저전력 및 손실 네트워크용 라우팅 프로토콜 옵션
SFM-DPD-option	간소화된 멀티캐스트 포워딩 IPv6 중복 패킷 탐지 옵션
user-defined-option-type `type-low` to `type-high`	다양한 헤더 유형 범위: 1에서 255까지.

mobility-header

이동성 헤더 확장 헤더입니다.

routing-header

라우팅 헤더 확장 헤더입니다.

특정 IPv4 옵션 값을 가진 IPv4 패킷을 삭제하려면 값을 지정합니다.

다음과 같은 IPv4 옵션 값을 구성할 수 있습니다.

loose-source-route-option	IP 옵션 3(느슨한 소스 라우팅)
record-route-option	IP 옵션 7(기록 경로)
security-option	IP 옵션 2(보안)
source-route-option	IP 옵션 3(느슨한 소스 라우팅) 또는 IP 옵션 9(엄격한 소스 라우팅)
stream-option	IP 옵션 8(스트림 ID)
strict-source-route-option	IP 옵션 9(엄격한 소스 라우팅)
timestamp-option	IP 옵션 4(인터넷 타임스탬프)

IP 티어드롭 공격으로부터 보호하려면 겹치는 단편화된 IP 패킷을 식별하여 삭제합니다.
알 수 없는 IP 프로토콜 공격으로부터 보호하려면 프로토콜 번호가 IPv4의 경우 137, IPv6의 경우 139보다 큰 IP 프레임을 식별하고 삭제합니다.
TCP FIN No ACK 공격으로부터 보호하려면 FIN 플래그가 설정된 패킷과 ACK 플래그가 설정되지 않은 패킷을 식별하고 삭제합니다.
지상 공격으로부터 보호하려면 소스 및 대상 주소 또는 포트가 동일한 SYN 패킷을 식별하고 삭제합니다.
TCP SYN ACK ACK 공격으로부터 보호하려면 완료되지 않고 열 수 있는 IP 주소의 최대 연결 수를 구성합니다.
TCP SYN FIN 공격으로부터 보호하려면 SYN 및 FIN 플래그가 모두 설정된 패킷을 식별하고 삭제합니다.
SYN 단편 공격으로부터 보호하려면 SYN 패킷 단편을 식별하고 삭제합니다.
TCP no flag 공격으로부터 보호하려면 플래그 필드가 설정되지 않은 TCP 패킷을 식별하고 삭제합니다.
TCP WinNuke 공격으로부터 보호하려면 포트 139로 향하고 긴급(URG) 플래그가 설정된 TCP 세그먼트를 식별하고 삭제합니다.

IDS에 대한 서비스 세트 구성

IDS 화면을 적용하기 위한 서비스 세트를 설정합니다.

서비스 세트에 IDS 화면을 할당합니다.
서비스 세트가 AMS 인터페이스와 연결된 경우, 구성한 세션 제한이 각 멤버 인터페이스에 적용됩니다.
IDS 화면이 처리하는 패킷을 스테이트풀 방화벽 규칙을 구성하여 제한합니다. 스테이트풀 방화벽 규칙은 IDS 처리를 거쳐야 하는 트래픽 또는 IDS 처리를 건너뛰어야 하는 트래픽을 식별할 수 있습니다.
- 스테이트풀 방화벽 규칙과 일치하는 트래픽에서 IDS 처리를 허용하려면 계층 수준에서 을(를[edit services stateful-firewall rule rule-name term term-name then]) 포함합니다accept.
- 스테이트풀 방화벽 규칙과 일치하는 트래픽에서 IDS 처리를 건너뛰려면 계층 [edit services stateful-firewall rule rule-name term term-name then] 수준에서 을 포함합니다accept skip-ids.

서비스 세트에 스테이트풀 방화벽 규칙을 할당합니다.

헤더 이상 공격으로부터 보호하려면 서비스 세트에 대한 헤더 무결성 검사를 구성합니다.

이 페이지의 내용

차세대 서비스를 위한 IDS Screens로 네트워크 공격 보호 구성

IDS 화면 이름, 방향 및 알람 옵션 구성

IDS 화면에서 세션 제한 구성

IDS 화면에서 의심스러운 패킷 패턴 검출 구성

IDS에 대한 서비스 세트 구성

관련 문서