Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI8.2 を使用)
ネットワーク攻撃の防止
ネットワーク攻撃の防止
発行日;2012/02/01 | 英語版ドキュメント(2011/09/19 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 21MB) | フィードバック

目次

ネットワーク攻撃の防止

IP スプーフィングの防止

フラグメント サイズの設定

不要な接続のブロック

基本 IPS をサポートする IP 監査の設定

ネットワーク攻撃の防止

この章では、ネットワーク攻撃を防止する方法について説明します。この章は、次の項で構成されています。

「IP スプーフィングの防止」

「フラグメント サイズの設定」

「不要な接続のブロック」

「基本 IPS をサポートする IP 監査の設定」

IP スプーフィングの防止

この項では、インターフェイスで Unicast Reverse Path Forwarding(Unicast RPF; ユニキャスト逆経路転送)をイネーブルにします。Unicast RPF は、ルーティング テーブルに従い、すべてのパケットが正しい発信元インターフェイスと一致する送信元 IP アドレスを持っていることを確認して、IP スプーフィング(パケットが不正な送信元 IP アドレスを使用し、実際の送信元を隠蔽すること)から保護します。

通常、適応型セキュリティ アプライアンスは、パケットの転送先を判定するときに宛先アドレスだけを調べます。Unicast RPF は、送信元アドレスも調べるように適応型セキュリティ アプライアンスに指示します。そのため、逆経路転送(Reverse Path Forwarding)と呼ばれます。適応型セキュリティ アプライアンスの通過を許可するすべてのトラフィックについて、送信元アドレスに戻るルートを適応型セキュリティ アプライアンスのルーティング テーブルに含める必要があります。詳細については、RFC 2267 を参照してください。

たとえば、外部トラフィックの場合、適応型セキュリティ アプライアンスはデフォルト ルートを使用して Unicast RPF 保護の条件を満たすことができます。トラフィックが外部インターフェイスから入り、送信元アドレスがルーティング テーブルにない場合、適応型セキュリティ アプライアンスはデフォルト ルートを使用して、外部インターフェイスを発信元インターフェイスとして正しく識別します。

ルーティング テーブルにあるアドレスから外部インターフェイスにトラフィックが入り、このアドレスが内部インターフェイスに関連付けられている場合、適応型セキュリティ アプライアンスはパケットをドロップします。同様に、未知の送信元アドレスから内部インターフェイスにトラフィックが入った場合は、一致するルート(デフォルト ルート)が外部インターフェイスを示しているため、適応型セキュリティ アプライアンスはパケットをドロップします。

Unicast RPF は、次のように実装されます。

ICMP パケットにはセッションがないため、個々のパケットはチェックされません。

UDP と TCP にはセッションがあるため、最初のパケットは逆ルート ルックアップが必要です。セッション中に到着する後続のパケットは、セッションの一部として保持されている既存の状態を使用してチェックされます。最初のパケット以外のパケットは、最初のパケットと同じインターフェイスに到着したことを保証するためにチェックされます。

 

Unicast RPF をイネーブルにするには、次のコマンドを入力します。

hostname(config)# ip verify reverse-path interface interface_name

フラグメント サイズの設定

デフォルトでは、適応型セキュリティ アプライアンスは 1 つの IP パケットにつき最大 24 のフラグメントを許可し、最大 200 のフラグメントのリアセンブリ待ちを許可します。NFS over UDP など、アプリケーションが日常的にパケットをフラグメント化する場合は、ネットワークでフラグメント化を許可する必要があります。ただし、トラフィックをフラグメント化するアプリケーションがない場合は、フラグメントが適応型セキュリティ アプライアンスを通過できないようにすることをお勧めします。フラグメント化されたパケットは、DoS 攻撃によく使われます。フラグメントの禁止を設定するには、次のコマンドを入力します。

hostname(config)# fragment chain 1 [interface_name]
 

特定のインターフェイスでフラグメント化を禁止する場合は、インターフェイス名を入力します。デフォルトでは、このコマンドはすべてのインターフェイスに適用されます。

不要な接続のブロック

あるホストがネットワークを攻撃しようとしていることがわかった場合(たとえば、システム ログ メッセージで攻撃が示された場合)、送信元 IP アドレスおよびその他の識別パラメータに基づいて、接続をブロック(排除)できます。排除を無効するまで、新しい接続は作成できません。


) トラフィックを監視する IPS(AIP SSM など)がある場合は、IPS で自動的に接続を排除できます。


接続を手動で排除するには、次の手順を実行します。


ステップ 1 必要に応じて、次のコマンドを入力し、接続に関する情報を表示します。

hostname# show conn
 

適応型セキュリティ アプライアンスは、各接続に関する情報を次のように表示します。

TCP out 64.101.68.161:4300 in 10.86.194.60:23 idle 0:00:00 bytes 1297 flags UIO
 

ステップ 2 この送信元 IP アドレスからの接続を排除するには、次のコマンドを入力します。

hostname(config)# shun src_ip [dst_ip src_port dest_port [protocol]] [vlan vlan_id]
 

送信元 IP アドレスだけを入力した場合、以後のすべての接続が排除されます。既存の接続はアクティブのままです。

送信元 IP アドレスからの以後の接続をブロックするだけでなく、既存の接続もドロップするには、宛先 IP アドレス、送信元と宛先のポート、およびプロトコルを入力します。デフォルトでは、プロトコルは IP を表す 0 です。

マルチコンテキスト モードでは、このコマンドは管理コンテキストで入力できます。また、他のコンテキストのインターフェイスに割り当てられている VLAN ID を指定することで、他のコンテキストの接続を排除できます。

ステップ 3 排除を無効するには、次のコマンドを入力します。

hostname(config)# no shun src_ip [vlan vlan_id]
 


 

基本 IPS をサポートする IP 監査の設定

IP 監査機能は、適応型セキュリティ アプライアンスを使用しないAIP SSMに基本 IPS サポートを提供します。署名の基本リストをサポートし、署名と一致するトラフィックに対して 1 つ以上のアクションを実行するように適応型セキュリティ アプライアンスを設定できます。

IP 監査をイネーブルにするには、次の手順を実行します。


ステップ 1 情報署名に対する IP 監査ポリシーを定義するには、次のコマンドを入力します。

hostname(config)# ip audit name name info [action [alarm] [drop] [reset]]
 

ここで、 alarm はパケットが署名と一致したことを示すシステム メッセージを生成し、 drop はパケットをドロップし、 reset はパケットをドロップして接続を閉じます。アクションを定義しない場合、デフォルト アクションはアラームの生成です。

ステップ 2 攻撃署名に対する IP 監査ポリシーを定義するには、次のコマンドを入力します。

hostname(config)# ip audit name name attack [action [alarm] [drop] [reset]]
 

ここで、 alarm はパケットが署名と一致したことを示すシステム メッセージを生成し、 drop はパケットをドロップし、 reset はパケットをドロップして接続を閉じます。アクションを定義しない場合、デフォルト アクションはアラームの生成です。

ステップ 3 ポリシーをインターフェイスに割り当てるには、次のコマンドを入力します。

ip audit interface interface_name policy_name
 

ステップ 4 署名をディセーブルにする方法および署名の詳細については、『 Cisco ASA 5500 Series Command Reference 』の ip audit signature コマンドを参照してください。