ASDM を使用した Cisco セキュリティ アプライアン ス コンフィギュレーション ガイド
高度なファイアウォール保護の設定
高度なファイアウォール保護の設定
発行日;2012/02/01 | 英語版ドキュメント(2011/03/15 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 19MB) | フィードバック

目次

高度なファイアウォール保護の設定

脅威検出の設定

基本脅威検出の設定

基本脅威検出の概要

基本脅威検出の設定

スキャン脅威検出の設定

脅威の統計情報の設定

接続の設定

接続制限について

TCP 代行受信について

クライアントレス SSL VPN の互換性を目的とした管理パケットの TCP 代行受信のディセーブル化

デッド接続検出について

TCP シーケンスのランダム化について

TCP 正規化について

TCP ステート バイパスについて

TCP ステート バイパス用のライセンス要件

ガイドラインおよび制約事項

デフォルト設定

接続制限、TCP 正規化、および TCP ステート バイパスのイネーブル化

IP 監査の設定

[IP Audit Policy]

[Add/Edit IP Audit Policy Configuration]

[IP Audit Signatures]

IP 監査シグニチャ リスト

フラグメント サイズの設定

[Show Fragment]

[Edit Fragment]

Anti-Spoofing の設定

TCP オプションの設定

[TCP Reset Settings]

グローバル タイムアウトの設定

高度なファイアウォール保護の設定

この章では、保護機能を設定することによってネットワーク攻撃を防止する方法を説明します。この章には、次の項があります。

「脅威検出の設定」

「接続の設定」

「IP 監査の設定」

「フラグメント サイズの設定」

「Anti-Spoofing の設定」

「TCP オプションの設定」

「グローバル タイムアウトの設定」


) [Configuration] > [Firewall] > [Advanced] 領域で設定する、Sun RPC サーバと暗号化トラフィック検査の設定値(およびこの章に含まれる多くの項目)については、「アプリケーション レイヤ プロトコル インスペクションの設定」を参照してください。


脅威検出の設定

この項では、スキャン脅威検出と基本脅威検出を設定する方法について説明します。説明する内容は次のとおりです。脅威検出は、シングル モードでだけ使用できます。

この項は、次の内容で構成されています。

「基本脅威検出の設定」

「スキャン脅威検出の設定」

「脅威の統計情報の設定」

脅威検出の統計情報を表示するには、「[Firewall Dashboard] タブ」を参照してください。

基本脅威検出の設定

基本脅威検出は、DoS 攻撃(サービス拒絶攻撃)などの攻撃に関連している可能性のあるアクティビティを検出します。基本脅威検出はデフォルトでイネーブルになっています。

この項は、次の内容で構成されています。

「基本脅威検出の概要」

「基本脅威検出の設定」

基本脅威検出の概要

セキュリティ アプライアンスは、基本脅威検出を使用して、次の理由によるドロップ パケットとセキュリティ イベントのレートを監視します。

アクセスリストによる拒否

パケット形式の不良(invalid-ip-header や invalid-tcp-hdr-length など)。

接続制限の超過(システム全体のリソース制限とコンフィギュレーションに設定されている制限の両方)。

DoS 攻撃の検出(無効な SPI、ステートフル ファイアウォール チェックの失敗など)。

基本ファイアウォール チェックの失敗(この箇条書きのファイアウォール関連のパケット ドロップをすべて含んだ合計レート。インターフェイスの過負荷、アプリケーション検査で不合格となったパケット、スキャン攻撃の検出など、ファイアウォール関連ではないドロップは含まれません)。

疑わしい ICMP パケットの検出

アプリケーション検査で不合格となったパケット

インターフェイスの過負荷

スキャン攻撃の検出(このオプションではスキャン攻撃を監視します。たとえば、最初の TCP パケットが SYN パケットではない場合や、TCP 接続で 3 ウェイ ハンドシェイクが失敗した場合などです。完全スキャン脅威検出(「スキャン脅威検出の設定」を参照)は、このスキャン攻撃レート情報を参照し、ホストを攻撃者として分類し、自動的に除外することで対処します)。

TCP SYN 攻撃の検出やデータのない UDP セッション攻撃の検出など、不完全なセッションの検出。

セキュリティ アプライアンスは、脅威を検出すると、ただちにシステム ログ メッセージ(730100)を送信します。

基本脅威検出がパフォーマンスに影響を与えるのは、ドロップや潜在的な脅威がある場合だけです。その場合でも、パフォーマンスへの影響はわずかです。

基本脅威検出の設定

基本脅威検出をイネーブルまたはディセーブルにするには、[Configuration] > [Firewall] > [Threat Detection] ペインで、 [Enable Basic Threat Detection] チェックボックスをオンまたはオフにします。

このオプションはデフォルトで、パケット ドロップや不完全なセッションの検出など、特定のタイプのセキュリティ イベントの検出をイネーブルにします。必要な場合は、イベントのタイプごとにデフォルトの設定を上書きできます。

イベント レートが超過すると、セキュリティ アプライアンスはシステム メッセージを送信します。セキュリティ アプライアンスは、一定間隔での平均イベント レートと、それより短いバースト間隔でのバースト イベント レートという、2 つのタイプのレートを追跡します。バースト レート間隔は、平均レート間隔の 1/30 と 10 秒のどちらか長い方になります。受信イベントごとに、セキュリティ アプライアンスは平均レート制限とバースト レート制限をチェックし、どちらのレートも超過している場合は、セキュリティ アプライアンスが 2 つのシステム メッセージ(各バースト期間のレート タイプごとに最大 1 メッセージ)を別個に送信します。

表 28-1 にデフォルト設定を示します。

 

表 28-1 基本脅威検出のデフォルト設定

パケット ドロップの理由
トリガー設定
平均レート
バースト レート

DoS 攻撃の検出

パケット形式が不良

接続制限の超過

疑わしい ICMP パケットの検出

直近 600 秒間で 100 ドロップ/秒

直近 10 秒間で 400 ドロップ/秒

直近 3600 秒間で 80 ドロップ/秒

直近 60 秒間で 320 ドロップ/秒

スキャン攻撃の検出

直近 600 秒間で 5 ドロップ/秒

直近 10 秒間で 10 ドロップ/秒

直近 3600 秒間で 4 ドロップ/秒

直近 60 秒間で 8 ドロップ/秒

TCP SYN 攻撃の検出や
データのない UDP セッション攻撃の検出など、不完全なセッションの検出(合計)

直近 600 秒間で 100 ドロップ/秒

直近 10 秒間で 200 ドロップ/秒

直近 3600 秒間で 80 ドロップ/秒

直近 60 秒間で 160 ドロップ/秒

アクセスリストによる拒否

直近 600 秒間で 400 ドロップ/秒

直近 10 秒間で 800 ドロップ/秒

直近 3600 秒間で 320 ドロップ/秒

直近 60 秒間で 640 ドロップ/秒

基本ファイアウォール チェックの失敗

アプリケーション検査で不合格となったパケット

直近 600 秒間で 400 ドロップ/秒

直近 10 秒間で 1600 ドロップ/秒

直近 3600 秒間で 320 ドロップ/秒

直近 60 秒間で 1280 ドロップ/秒

インターフェイスの過負荷

直近 600 秒間で 2000 ドロップ/秒

直近 10 秒間で 8000 ドロップ/秒

直近 3600 秒間で 1600 ドロップ/秒

直近 60 秒間で 6400 ドロップ/秒

スキャン脅威検出の設定

典型的なスキャン攻撃は、サブネット内のすべての IP アドレスにアクセスできるかどうかを試す(サブネット内の複数のホストを順にすべてスキャンするか、1 つのホストまたはサブネットの複数のポートを順にすべてスイープする)ホストから行われます。スキャン脅威検出機能は、いつホストがスキャンを実行するかを判定します。トラフィック シグニチャに基づく IPS スキャン検出とは異なり、セキュリティ アプライアンスのスキャン脅威検出機能では、スキャン アクティビティがあるかどうかの分析に使用可能なホストの統計情報が含まれる広範なデータベースが維持されます。

ホスト データベースは、リターン アクティビティのない接続、閉じているサービス ポートへのアクセス、脆弱な TCP の動作(ランダムではない IPID など)など、多くの疑わしい動作を追跡します。

攻撃者に関するシステム ログ メッセージを送信するようにセキュリティ アプライアンスを設定できます。または自動的にホストを除外できます。


注意 スキャン脅威検出機能は、ホストベースおよびサブネットベースのデータ構造と情報を作成するときに、セキュリティ アプライアンスのパフォーマンスとメモリに多大な影響を与える可能性があります。

スキャン脅威検出を設定するには、次の手順を実行します。


ステップ 1 スキャン脅威検出をイネーブルにするには、[Configuration] > [Firewall] > [Threat Detection] ペインで、 [Enable Scanning Threat Detection] チェックボックスをオンにします。

デフォルトでは、ホストが攻撃者と特定されると、システム ログ メッセージ 730101 が生成されます。

セキュリティ アプライアンスは、スキャン脅威レートが超過すると、ホストを攻撃者またはターゲットとして特定します。セキュリティ アプライアンスは、一定間隔での平均イベント レートと、それより短いバースト間隔でのバースト イベント レートという、2 つのタイプのレートを追跡します。バースト イベント レートは、平均レート間隔の 1/30 と 10 秒のどちらか長い方になります。スキャン攻撃の一部であると考えられるイベントが検出されるたびに、セキュリティ アプライアンスは平均レート制限とバースト レート制限をチェックします。ホストが送信したトラフィックについてどちらかのレートが超過していると、そのホストは攻撃者と見なされます。ホストが受信したトラフィックについてどちらかのレートが超過していたら、そのホストはターゲットと見なされます。

表 28-2 に、スキャン脅威検出のデフォルトのレート制限を示します。

 

表 28-2 スキャン脅威検出のデフォルトのレート制限

平均レート
バースト レート

直近 600 秒間で 5 ドロップ/秒

直近 10 秒間で 10 ドロップ/秒

直近 3600 秒間で 5 ドロップ/秒

直近 60 秒間で 10 ドロップ/秒

ステップ 2 (オプション)セキュリティ アプライアンスがホストを攻撃者と特定した場合に自動的にそのホスト接続を終了するには、[Shun Hosts detected by scanning threat] チェックボックスをオンにします。

ステップ 3 (オプション)ホストの IP アドレスを除外対象から外すには、[Networks excluded from shun] フィールドにアドレスを入力します。

複数のアドレスまたはサブネットは、カンマで区切って入力できます。IP アドレス オブジェクトのリストからネットワークを選択するには、 [...] ボタンをクリックします。

ステップ 4 (オプション)攻撃ホストの除外期間を設定するには、[Set Shun Duration] を選択し、10 ~ 2592000 秒の間の値を入力します。デフォルトの長さは、3600 秒(1 時間)です。デフォルト値を復元するには、[Set Default] をクリックします。


 

脅威の統計情報の設定

広範な統計情報を収集するようにセキュリティ アプライアンスを設定できます。脅威検出統計情報には、許可されたトラフィックとドロップされたトラフィックの両方のレートが表示されます。デフォルトでは、アクセスリストの統計情報はイネーブルになっています。

脅威検出の統計情報を表示するには、「[Firewall Dashboard] タブ」を参照してください。


注意 統計情報をイネーブルにすると、イネーブルにした統計情報のタイプによってはセキュリティ アプライアンスのパフォーマンスに影響がある可能性があります。ホストの統計情報をイネーブルにすると、パフォーマンスに大きな影響があります。トラフィックの負荷が高い場合は、このタイプの統計情報は一時的にイネーブルにすることを検討してください。ポートの統計情報をイネーブルにしても影響はそれほどありません。

すべて の統計情報をイネーブルにするには、[Configuration] > [Firewall] > [Threat Detection] > [Scanning Threat Statistics] 領域で、[Enable All Statistics] オプション ボタンをオンにします。

すべて の統計情報をディセーブルにするには、[Configuration] > [Firewall] > [Threat Detection] ペインで、[Disable All Statistics] オプション ボタンをオンにします。

特定の統計情報だけをイネーブルにするには、[Configuration] > [Firewall] > [Threat Detection] > [Scanning Threat Statistics] 領域で、[Enable Only Following Statistics] オプション ボタンをオンにし、次のチェックボックスの中から 1 つ以上をオンにします。

[Hosts]:ホスト統計情報をイネーブルにします。ホスト統計情報は、ホストがアクティブの間はずっとスキャン脅威ホスト データベースに蓄積されます。ホストは、非アクティブな状態が 10 分間続くとデータベースから削除されます(統計情報はクリアされます)。

[Access Rules](デフォルトでイネーブル):アクセスルール統計情報をイネーブルにします。

[Port]:TCP ポートと UDP ポートの統計情報をイネーブルにします。

[Protocol]:TCP/UDP 以外の IP プロトコルの統計情報をイネーブルにします。

[TCP-Intercept]:TCP 代行受信によってインターセプトされた攻撃に関する統計をイネーブルにします(TCP 代行受信をイネーブルにする方法については、「接続制限、TCP 正規化、および TCP ステート バイパスのイネーブル化」を参照してください)。[TCP-Intercept] オプションを選択すると、[Configuration] > [Firewall] > [Threat Detection] > [TCP Intercept Threat Detection] 領域で次のオプションを設定できます。

[Monitoring Window Size]:履歴モニタリングの時間枠のサイズを 1 ~ 1440 分の間で設定します。デフォルトは 30 分です。セキュリティ アプライアンスは、レート間隔の間に攻撃数を 30 回サンプリングするので、デフォルトの 30 分間、統計情報は 60 秒ごとに収集されます。

[Burst Threshold Rate]:syslog メッセージ生成のしきい値を 25 ~ 2147483647 の間で設定します。デフォルトは、400 秒です。このバースト レートを超過すると、syslog メッセージ 733104 が生成されます。

[Average Threshold Rate]:syslog メッセージ生成の平均レートのしきい値を 25 ~ 2147483647 の間で設定します。デフォルトは、200 秒です。この平均レートを超過すると、syslog メッセージ 733105 が生成されます。

デフォルト値を復元するには、[Set Default] ボタンをクリックします。

ホスト統計情報用に保持されているレート間隔数を設定するには、[Configuration] > [Firewall] > [Threat] [Detection] > [Scanning Threat Statistics] 領域で、[User can specify the number of rate for Threat Detection Host] ドロップダウン リストから [1]、[2]、または [3] を選択します。ホスト統計情報には大量のメモリが消費されるので、レート間隔をデフォルトの 3 から減らすことで、メモリの使用量が減少します。デフォルトで、「[Firewall Dashboard] タブ」には、たとえば最近 1 時間、8 時間、および 24 時間のように、3 つのレート間隔の情報が表示されます。このキーワードを [1] に設定すると、レート間隔のうち最短の統計情報だけが保持されます。値を [2] に設定すると、最短間隔が 2 つ保持されます。

接続の設定

この項では、次の内容について説明します。

TCP と UDP の最大接続数の設定

最大初期接続数の設定

クライアントあたり最大接続数の設定

接続タイムアウトの設定

デッド接続検出の設定

TCP シーケンスのランダム化のディセーブル

TCP 正規化の設定

TCP ステート バイパスの設定

この項は、次の内容で構成されています。

「接続制限について」

「TCP 正規化について」

「TCP ステート バイパスについて」

「接続制限、TCP 正規化、および TCP ステート バイパスのイネーブル化」


) 最大接続数、最大初期接続数、および TCP シーケンスのランダム化は、NAT コンフィギュレーションでも設定できます。同じトラフィックに対して両方の方法でこれらの設定値を設定した場合、セキュリティ アプライアンスは小さい方の制限値を使用します。TCP シーケンスのランダム化がいずれかの方法でディセーブルにされている場合、セキュリティ アプライアンスは TCP シーケンスのランダム化をディセーブルにします。


TCP 代行受信について

初期接続の数を制限することで、DoS 攻撃(サービス拒絶攻撃)から保護されます。セキュリティ アプライアンスでは、クライアントあたりの制限と初期接続の制限を利用して TCP 代行受信を発生させます。代行受信によって、TCP SYN パケットを使用してインターフェイスをフラッディングする DoS 攻撃から内部システムを保護します。初期接続とは、送信元と宛先の間で必要になるハンドシェイクを完了していない接続要求のことです。TCP 代行受信は、SYN クッキー アルゴリズムを使用して TCP SYN フラッディング攻撃を防止します。SYN フラッディング攻撃は、通常は偽りの IP アドレスから発信される一連の SYN パケットによって行われます。SYN パケットのフラッドが続くと、サーバの SYN キューが常にいっぱいの状態になり、接続要求を処理できなくなります。接続が初期接続のしきい値を超えると、セキュリティ アプライアンスはサーバのプロキシとして機能し、クライアントの SYN 要求に対して SYN-ACK 応答を生成します。セキュリティ アプライアンスは、クライアントから ACK を受信すると、クライアントを認証できるようになり、サーバへの接続を許可します。

クライアントレス SSL VPN の互換性を目的とした管理パケットの TCP 代行受信のディセーブル化

デフォルトで、TCP 管理接続では常に TCP 代行受信がイネーブルになっています。TCP 代行受信は、イネーブルになると 3 ウェイ TCP 接続確立ハンドシェイク パケットを代行受信するため、セキュリティ アプライアンスはクライアントレス(ブラウザベースの)SSL VPN からのパケットを処理できなくなります。クライアントレス SSL VPN では、3 ウェイ ハンドシェイク パケットを処理し、選択的な ACK とクライアントレス SSL VPN 接続への TCP オプションを提供できなければなりません。管理トラフィックの TCP 代行受信をディセーブルにするために初期接続の制限を設定できます。設定すると、初期接続の制限に達した後にだけ TCP 代行受信がイネーブルになります。

デッド接続検出について

Dead connection detection(DCD; デッド接続検出)は、まだトラフィックを処理できる接続を期限切れにすることなく、デッド接続を検出して期限切れにできます。DCD は、アイドル状態ではあっても有効な接続を存続させる場合に設定します。

DCD をイネーブルにすると、アイドル タイムアウト動作が変化します。アイドル タイムアウトが発生すると、DCD プローブが両端のホストにそれぞれ送信され、接続が有効かどうかを判別します。一方の端のホストが、プローブの送信後設定した時間を過ぎても応答しない場合、接続は解放され、リセット値が設定されていれば両端のホストに送信されます。両端のホストから接続が有効であると応答があれば、アクティビティのタイムアウトは現在の時刻に更新され、それに応じてアイドル タイムアウトがスケジュールし直されます。

TCP シーケンスのランダム化について

各 TCP 接続には、2 つの Initial Sequence Number(ISN; 初期シーケンス番号)があります。1 つはクライアントが生成し、もう 1 つはサーバが生成します。セキュリティ アプライアンスは、着信および発信の両方向で通過する TCP SYN の ISN をランダム化します。

保護されているホストの初期シーケンス番号をランダム化することにより、攻撃者が新しい接続に使用される次の ISN を予想してセッションを乗っ取ることができないようにします。

TCP の初期シーケンス番号のランダム化は必要に応じてディセーブルにできます。次の例を参考にしてください。

別のインライン ファイアウォールも初期シーケンス番号をランダム化している場合。両方のファイアウォールでランダム化を実行する必要はありません。ただし、ランダム化によってトラフィックに影響が出ることはありません。

セキュリティ アプライアンスを経由する eBGP マルチホップを使用し、さらに eBGP ピアが MD5 を使用する場合。ランダム化によって MD5 チェックサムが破損します。

WAAS デバイスを使用する場合。WAAS デバイスでは、セキュリティ アプライアンスが接続のシーケンス番号をランダム化しないことが要求されます。

TCP 正規化について

TCP 正規化の機能によって、異常パケットが検出されます。これにより、検出時に、セキュリティ アプライアンスがそれらに対応できるようになります。たとえば、セキュリティ アプライアンスはそれらのパケットを許可、ドロップ、またはクリアできます。TCP 正規化は、セキュリティ アプライアンスを攻撃から保護するのに役立ちます。TCP 正規化は常にイネーブルになっていますが、一部の機能の動作方法をカスタマイズできます。

TCP ノーマライザには、設定できないアクションと設定できるアクションが含まれます。通常、接続をドロップまたはクリアするなどの設定できないアクションは、常に不良なパケットに適用されます。設定できるアクション(「接続制限、TCP 正規化、および TCP ステート バイパスのイネーブル化」で詳細を説明)は、使用中のネットワークのニーズに応じてカスタマイズが必要な場合があります。

TCP 正規化については、次のガイドラインを参照してください。

ノーマライザでは SYN フラッドから保護されません。セキュリティ アプライアンスには、他の手段で SYN フラッド保護が含まれます。

ノーマライザは、フェールオーバーが原因でセキュリティ アプライアンスがルース モードになっていない限り、常に SYN パケットをフロー内の最初のパケットと見なします。

TCP ステート バイパスについて

デフォルトでは、セキュリティ アプライアンスを通過するすべてのトラフィックは、アダプティブ セキュリティ アルゴリズムを使用して検査され、セキュリティ ポリシーに基づいて通過を許可されるか、ドロップされます。セキュリティ アプライアンスは、それぞれのパケットの状態(新しい接続か、確立済みの接続か)をチェックし、そのパケットをセッション管理パス(新しい接続 SYN パケット)、高速パス(確立済みの接続)、または制御プレーン パス(高度な検査)のいずれかに割り当てることでファイアウォールのパフォーマンスを最大化します。ステートフル ファイアウォールの詳細については、「ステートフル インスペクションの概要」を参照してください。

高速パスに含まれる既存の接続に一致する TCP パケットは、セキュリティ ポリシーのあらゆる面を再チェックしないでセキュリティ アプライアンスを通過できます。この機能はパフォーマンスを最大化させます。ただし、SYN パケットを使用して高速パスの中でセッションを確立する方式や、高速パスで行われるチェック(TCP シーケンス番号など)は、接続の発信フローと受信フローの両方が同じセキュリティ アプライアンスを通過する必要があるので、非対称ルーティング ソリューションの妨げになります。

たとえば、新しい接続がセキュリティ アプライアンス 1 に向かいます。SYN パケットは、セッション管理パスを通過し、接続に関するエントリが高速パス テーブルに追加されます。この接続の後続のパケットがセキュリティ アプライアンス 1 を通過する場合、パケットは高速パス内のエントリに一致し、通過します。ただし、後続のパケットが、セッション管理パスを通過した SYN パケットが存在しないセキュリティ アプライアンス 2 に向かう場合、高速パスには接続用のエントリがなく、パケットがドロップされます。図 28-1に、送信トラフィックが受信トラフィックとは異なるセキュリティ アプライアンスを通過する非対称ルーティングの例を示します。

図 28-1 非対称ルーティング

 

非対称ルーティングをアップストリーム ルーターで設定している場合で、トラフィックが 2 つのセキュリティ アプライアンス間を行き来する場合は、特定のトラフィック向けに TCP ステート バイパスを設定できます。TCP ステート バイパスは、高速パス内でセッションが確立される方法を変え、高速パス チェックをディセーブルにします。この機能は、TCP トラフィックを UDP 接続を扱うのと同様に処理します。つまり、特定のネットワークに一致する非 SYN パケットがセキュリティ アプライアンスに入り、高速パス エントリが存在しない場合、高速パス内で接続を確立するためにパケットがセッション管理パスを通過します。いったん高速パスの中に入ると、トラフィックは高速パス チェックをバイパスします。

TCP ステート バイパス用のライセンス要件

 

モデル
ライセンス要件

全モデル

基本ライセンス

ガイドラインおよび制約事項

この項では、この機能に関するガイドラインおよび制約事項について説明します。

コンテキスト モードのガイドライン

シングル モードとマルチ コンテキスト モードでサポートされます。

ファイアウォール モードのガイドライン

ルーテッド モードとトランスペアレント モードでサポートされます。

フェールオーバーに関するガイドライン

フェールオーバーがサポートされています。

IPv6 のガイドライン

IPv6 をサポートします。

サポートされていない機能

TCP ステート バイパスを使用する場合、次の機能はサポートされません。

アプリケーション検査:アプリケーション検査では、受信および送信トラフィックが同じセキュリティ アプライアンスを通過する必要があるので、TCP ステート バイパスではアプリケーション検査はサポートされていません。

AAA 認証済みセッション:ユーザが1つのセキュリティ アプライアンスの認証を受ける場合、他のセキュリティ アプライアンス経由で戻ってくるトラフィックは、ユーザがそのセキュリティ アプライアンスの認証を受けていないため、拒否されます。

TCP 代行受信、最大初期接続数、TCP シーケンス番号のランダム化:セキュリティ アプライアンスは、接続の状態を追跡しないので、これらの機能は適用されません。

TCP 正規化:TCP 正規化はディセーブルになっています。

SSM と SSC 機能:TCP ステート バイパスと SSM または SSC 上で実行されている IPS または CSC などのアプリケーションは使用できません。

NAT ガイドライン

変換セッションは、セキュリティ アプライアンスごとに別々に確立されるので、スタティック NAT を TCP ステート バイパス トラフィック用に両方のセキュリティ アプライアンスで必ず設定します。ダイナミック NAT を使用する場合、セキュリティ アプライアンス 1 上のセッション用に選択されたアドレスは、セキュリティ アプライアンス 2 上のセッション用に選択されたアドレスとは異なります。

デフォルト設定

デフォルトでは、TCP ステート バイパスはディセーブルになっています。

接続制限、TCP 正規化、および TCP ステート バイパスのイネーブル化

接続制限と TCP 正規化を設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Firewall] > [Service Policy Rules] ペインで、「サービス ポリシー ルールの設定」に従ってサービス ポリシーを設定します。

新しいサービス ポリシー ルールの一部として接続制限を設定できます。または、既存のサービス ポリシーを編集することもできます。

ステップ 2 [Rule Actions] ダイアログボックスで、[Connection Settings] タブをクリックします。

ステップ 3 最大接続数を設定するには、[Maximum Connections] 領域で次の値を設定します。

[TCP & UDP Connections]:トラフィック クラスのすべてのクライアントで同時に接続される TCP および UDP 接続の最大数を 65,536 までの範囲で指定します。どちらのプロトコルともデフォルトは 0 で、接続可能な最大許容数に設定されています。

[Embryonic Connections]:ホストごとの初期接続の最大数を 65,536 までの範囲で指定します。初期接続とは、送信元と宛先の間で必要になるハンドシェイクを完了していない接続要求のことです。この制限により、TCP 代行受信機能をイネーブルにします。デフォルトは 0 で、最大初期接続数であることを示します。TCP 代行受信により、TCP SYN パケットによってインターフェイスをフラッディングさせる DoS 攻撃から内部システムを保護します。初期接続の制限値を超えると、クライアントからセキュリティ レベルのより高いサーバへ送信される TCP SYN パケットが TCP 代行受信機能によって代行受信されます。SYN クッキーは、検証プロセス中に使用され、ドロップされる有効なトラフィックの量を最小限に抑えるのに役立ちます。したがって、到達不能なホストからの接続試行がサーバに到達することはありません。

[Per Client Connections]:クライアントごとに、同時接続できる TCP 接続と UDP 接続の最大数を指定します。クライアントあたりの最大接続数の接続をすでに開いているクライアントが新しい接続を試みると、セキュリティ アプライアンスは、その接続を拒否してパケットをドロップします。

[Per Client Embryonic Connections]:クライアントごとに、同時接続できる TCP 初期接続の最大数を指定します。クライアントあたりの最大初期接続数の接続をセキュリティ アプライアンスからすでに開いているクライアントが新しい TCP 接続を要求すると、セキュリティ アプライアンスは、その要求の処理を TCP 代行受信機能に代行させ、接続を阻止します。

ステップ 4 TCP タイムアウトを設定するには、[TCP Timeout] 領域で次の値を設定します。

[Connection Timeout]:接続スロットを解放するまでのアイドル時間を指定します。接続のタイムアウトをディセーブルにするには、0:0:0 と入力します。期間は 5 分以上にする必要があります。デフォルトは 1 時間です。

[Send reset to TCP endpoints before timeout]:セキュリティ アプライアンスが、接続スロットを解放する前に接続のエンドポイントに TCP リセット メッセージを送信するように指定します。

[Embryonic Connection Timeout]:初期接続スロットが解放されるまでのアイドル時間を指定します。接続のタイムアウトをディセーブルにするには、0:0:0 と入力します。デフォルトは 30 秒です。

[Half Closed Connection Timeout]:ハーフ クローズ接続スロットが解放されるまでのアイドル時間を指定します。接続のタイムアウトをディセーブルにするには、0:0:0 と入力します。期間は 5 分以上にする必要があります。デフォルトは 10 分です。

ステップ 5 シーケンス番号のランダム化をディセーブルにするには、 [Randomize Sequence Number] をオフにします。

TCP 初期シーケンス番号のランダム化をディセーブルにできるのは、別のインライン ファイアウォールも初期シーケンス番号をランダム化している場合です。これは、両方のファイアウォールでこの処理を実行する必要はないためです。ただし、両方のファイアウォールで ISN のランダム化をイネーブルにしたままにしても、トラフィックへの影響はありません。

各 TCP 接続には、2 つの Initial Sequence Number(ISN; 初期シーケンス番号)があります。1 つはクライアントが生成し、もう 1 つはサーバが生成します。セキュリティ アプライアンスは、発信方向に通過する TCP SYN の ISN をランダム化します。セキュリティ レベルが同じ 2 つのインターフェイス間の接続であれば、両方向の SYN の ISN がランダム化されます。

保護されているホストの初期シーケンス番号をランダム化することにより、攻撃者が新しい接続に使用される次の ISN を予想してセッションを乗っ取ることができないようにします。

ステップ 6 TCP 正規化を設定するには、 [Use TCP Map] をオンにします。

ドロップダウン リストから既存の TCP マップを選択するか(選択可能な場合)、 [New] をクリックして新しい TCP マップを追加します。

[Add TCP Map] ダイアログボックスが表示されます。

a. [TCP Map Name] フィールドで、名前を入力します。

b. [Queue Limit] フィールドで、異常なパケットの最大数を 0 ~ 250 パケットの範囲で指定します。

[Queue Limit] では、バッファリングして TCP 接続用に配列できる異常パケットの最大数を設定します。デフォルトは 0 です。これは、この設定がディセーブルになっており、トラフィックの種類に応じてデフォルトのシステム キュー制限が使用されることを意味します。

アプリケーション検査、IPS、および TCP チェック再送信用の接続には、3 パケットのキュー制限が存在します。セキュリティ アプライアンス が異なるウィンドウ枠を持つ TCP パケットを受信する場合、キュー制限はアドバタイズされた設定に一致するように動的に変化します。

その他の TCP 接続では、異常なパケットはそのまま通過します。

Queue Limit コマンドを 1 以上に設定すると、すべての TCP トラフィックに対して許可される異常なパケットの数がこの設定と一致します。アプリケーション検査、IPS、および TCP チェック再送信トラフィックでは、アドバタイズされた設定はすべて無視されます。その他の TCP トラフィックでは、異常なパケットがバッファリングされ、そのまま通過する代わりに配列されます。

c. [Timeout] フィールドで、異常なパケットがバッファに残存できる最大期間を 1 ~ 20 秒の間で設定します。

これらのパケットが配列されず、タイムアウト期間内に渡されなかった場合は、ドロップされます。デフォルトは 4 秒です。[Queue Limit] が 0 に設定されない場合は、すべてのトラフィックに関してタイムアウトを変更できません。[Timeout] が有効になるには、制限を 1 以上に設定する必要があります。

d. [Reserved Bits] 領域で、 [Clear and allow] [Allow only] 、または [Drop] をクリックします。

[Allow only] を指定すると、TCP ヘッダーに予約ビットのあるパケットだけが許可されます。

[Clear and allow] を指定すると、TCP ヘッダーの予約ビットをクリアしてパケットを許可します。

[Drop] を指定すると、TCP ヘッダーに予約ビットのあるパケットをドロップします。

e. 次のいずれかのオプションをオンにします。

[Clear urgent flag]:セキュリティ アプライアンスを通過する URG フラグをクリアします。URG フラグは、ストリーム中の他のデータよりも優先順位の高い情報がこのパケットに含まれていることを示すために使用します。TCP RFC では、URG フラグの正確な解釈が明確にされていません。そのため、エンド システムは緊急オフセットをさまざまな方法で処理しており、これが攻撃に対する脆弱性になることがあります。

[Drop Connection on Window Variation]:予想外のウィンドウ サイズの変更が発生した接続をドロップします。ウィンドウ サイズ メカニズムによって、TCP は大きなウィンドウをアドバタイズでき、続いて、過剰な量のデータを受け入れずに、はるかに小さなウィンドウをアドバタイズできます。TCP 仕様により、「ウィンドウの縮小」は極力避けることが推奨されています。この条件が検出された場合に、接続をドロップできます。

[Drop packets that exceed maximum segment size]:ピアで設定した MSS を超過したパケットをドロップします。

[Check if transmitted data is the same as original]:再送信データ チェックをイネーブルにします。

[Drop packets which have past-window sequence]:ウィンドウ シーケンス番号を超えているパケット、つまり、TCP パケットのシーケンス番号が TCP 受信ウィンドウの右端よりも大きい場合に、パケットをドロップします。このオプションを選択しない場合、[Queue Limit] を 0 (ディセーブル)に設定する必要があります。

[Drop SYN Packets with data]:データのある SYN パケットをドロップします。

[Enable TTL Evasion Protection]:セキュリティ アプライアンスの TTL 回避保護をイネーブルにします。セキュリティ ポリシーを回避しようとしている攻撃を防ぐには、このオプションをイネーブルにしないでください。

たとえば、攻撃者は非常に短い TTL を使用してポリシーを渡すパケットを送信できます。TTL がゼロになると、セキュリティ アプライアンスとエンドポイント間のルータがパケットをドロップします。この時点で、攻撃者は、セキュリティ アプライアンスには再送信のように認識され許可される長い TTL を使用して悪意のあるパケットを送信できます。一方、エンドポイントのホストにとっては、このパケットは攻撃者によって受信された最初のパケットになります。この場合、セキュリティによって攻撃が防がれず、攻撃者の攻撃が成功します。

[Verify TCP Checksum]:チェックサム検証をイネーブルにします。

[Drop SYNACK Packets with data]:データを含む TCP SYNACK パケットをドロップします。

[Drop packets with invalid ACK]:無効な ACK を持つパケットをドロップします。次のような場合に、無効な ACK が見られることがあります。

TCP 接続の SYN-ACK-受信ステータスの中で、受信した TCP パケットの ACK 番号が次に送信される TCP パケットのシーケンス番号と必ずしも同じでない場合があります。これは、無効な ACK です。

受信した TCP パケットの ACK 番号が次に送信される TCP パケットのシーケンス番号よりも大きい場合はいつも、無効な ACK になります。


) ACK が無効な TCP パケットは、自動的に WAAS 接続が許可されます。


f. TCP オプションを設定するには、次のいずれかのオプションをオンにします。

[Clear Selective Ack]:[selective-ack TCP] オプションを許可するかクリアするかを示します。

[Clear TCP Timestamp]:TCP タイムスタンプ オプションを許可するかクリアするかを示します。

[Clear Window Scale]:ウィンドウ スケール タイムスタンプ オプションを許可するかクリアするかを示します。

[Range]:有効な TCP オプションの範囲を示します。正しい範囲は 6 ~ 7 と 9 ~ 255 です。下限境界値は上限境界値以下でなければなりません。

g. [OK] をクリックします。

ステップ 7 存続可能時間を設定するには、 [Decrement time to live for a connection] をオンにします。

ステップ 8 TCP ステート バイパスをイネーブルにするには、[Advanced Options] 領域で、 [TCP State Bypass] をオンにします。

ステップ 9 [OK] または [Finish] をクリックします。


 

IP 監査の設定

IP 監査機能は、基本的な IPS 機能を提供します。サポートされるプラットフォームで高度な IPS 機能を実現する場合には、AIP SSM をインストールできます。

この機能により、名前付き監査ポリシーを作成し、パケットが事前定義済みの攻撃シグニチャまたは情報シグニチャと一致する場合に実行するアクションを特定できます。シグニチャとは、既知の攻撃パターンに一致するアクティビティです。たとえば、DoS 攻撃に一致するシグニチャがあるとします。セキュリティ アプライアンスは、パケットをドロップ、アラームを生成、または接続をリセットするように設定できます。

[IP Audit Policy]

[IP Audit Policy] パネルでは、監査ポリシーを追加し、そのポリシーをインターフェイスに割り当てられます。攻撃ポリシーと情報ポリシーは、各インターフェイスに割り当てられます。攻撃ポリシーにより、パケットが攻撃シグニチャに一致するときに実行するアクションが決まります。そのパケットは、DoS 攻撃など、ネットワークでの攻撃の一部である可能性があります。情報ポリシーにより、パケットが情報シグニチャに一致するときに実行するアクションが決まります。そのパケットは、現時点ではネットワークを攻撃していなくても、ポート スイープなどの情報収集アクティビティの一部になる可能性があります。すべてのシグニチャのリストについては、IP 監査シグニチャ リストを参照してください。

フィールド

[Name]:定義済み IP 監査ポリシーの名前を示します。このテーブルには名前付きポリシーのデフォルト アクションが一覧表示されていますが(「--Default Action--」)、インターフェイスに割り当てることができる名前付きポリシーではありません。デフォルト アクションは、ポリシーでアクションを設定しない場合に、名前付きポリシーによって使用されます。デフォルト アクションを変更するには、そのアクションを選択して [Edit] ボタンをクリックします。

[Type]:ポリシー タイプ([Attack] または [Info])を示します。

[Action]:ポリシーに一致するパケットに対して実行されるアクション([Alarm]、[Drop]、または [Reset])を示します。複数のアクションが一覧表示されることもあります。

[Add]:新しい IP 監査ポリシーを追加します。

[Edit]:IP 監査ポリシーまたはデフォルト アクションを編集します。

[Delete]:IP 監査ポリシーを削除します。デフォルト アクションは削除できません。

[Policy-to-Interface Mappings]:攻撃および情報ポリシーを各インターフェイスに割り当てます。

[Interface]:インターフェイス名を表示します。

[Attack Policy]:使用できる攻撃監査ポリシー名を一覧表示します。リストにある名前をクリックして、ポリシーをインターフェイスに割り当てます。

[Info Policy]:使用できる情報監査ポリシー名を一覧表示します。リストにある名前をクリックして、ポリシーをインターフェイスに割り当てます。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

[Add/Edit IP Audit Policy Configuration]

[Add/Edit IP Audit Policy Configuration] ダイアログボックスでは、インターフェイスに割り当てられる名前付き IP 監査ポリシーを追加または編集し、シグニチャ タイプごとにデフォルト アクションを変更できます。

フィールド

[Policy Name]:IP 監査ポリシー名を設定します。ポリシー名は、追加した後では変更できません。

[Policy Type]:ポリシー タイプを設定します。ポリシー タイプは、追加した後では変更できません。

[Attack]:ポリシー タイプを攻撃として設定します。

[Information]:ポリシー タイプを情報として設定します。

[Action]:パケットがシグニチャに一致するときに実行するアクションを 1 つ以上設定します。アクションを選択しない場合には、デフォルト ポリシーが使用されます。

[Alarm]:パケットがシグニチャに一致したことを示すシステム メッセージを生成します。すべてのシグニチャのリストについては、IP 監査シグニチャ リストを参照してください。

[Drop]:パケットをドロップします。

[Reset]:パケットをドロップし、接続を閉じます。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

[IP Audit Signatures]

[IP Audit Signatures] ペインでは、監査シグニチャをディセーブルにできます。正規のトラフィックが 1 つのシグニチャに連続して一致する場合には、そのシグニチャをディセーブルにできます。また、アラーム数が膨大な数になるのを防ぐために、シグニチャのディセーブル化というリスクをとることもできます。

すべてのシグニチャのリストについては、IP 監査シグニチャ リストを参照してください。

フィールド

[Enabled]:イネーブルになっているシグニチャを一覧表示します。

[Disabled]:ディセーブルになっているシグニチャを一覧表示します。

[Disable]:選択したシグニチャを [Disabled] ペインに移動します。

[Enable]:選択したシグニチャを [Enabled] ペインに移動します。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

IP 監査シグニチャ リスト

表 28-3 に、サポートされるシグニチャとシステム メッセージ番号を一覧表示します。

 

表 28-3 シグニチャ ID とシステム メッセージ番号

シグニチャ ID
メッセージ番号
シグニチャ タイトル
シグニチャ
タイプ
説明

1000

400000

IP options-Bad Option List

情報

IP データグラム ヘッダーの IP オプションのリストが不完全であるか、または不正な形式になっている IP データグラムを受信するとトリガーされます。IP オプションのリストには、さまざまなネットワーク管理タスクまたはデバッグ タスクを実行するオプションが 1 つ以上含まれています。

1001

400001

IP options-Record Packet Route

情報

データグラムの IP オプション リスト中にオプション 7(記録パケット ルート)を含む IP データグラムを受信するとトリガーされます。

1002

400002

IP options-Timestamp

情報

データグラムの IP オプション リスト中にオプション 4(タイムスタンプ)を含む IP データグラムを受信するとトリガーされます。

1003

400003

IP options-Security

情報

データグラムの IP オプション リスト中にオプション 2(セキュリティ オプション)を含む IP データグラムを受信するとトリガーされます。

1004

400004

IP options-Loose Source Route

情報

データグラムの IP オプション リスト中にオプション 3(緩慢な送信元ルート)を含む IP データグラムを受信するとトリガーされます。

1005

400005

IP options-SATNET ID

情報

データグラムの IP オプション リスト中にオプション 8(SATNET ストリーム ID)を含む IP データグラムを受信するとトリガーされます。

1006

400006

IP options-Strict Source Route

情報

データグラムの IP オプション リスト中にオプション 2(厳密な送信元ルーティング)を含む IP データグラムを受信するとトリガーされます。

1100

400007

IP Fragment Attack

攻撃

オフセット フィールドのオフセット値が 0 より大きく 5 未満になっている IP データグラムを受信するとトリガーされます。

1102

400008

IP Impossible Packet

攻撃

送信元と宛先が同じアドレスになっている IP パケットが到着するとトリガーされます。このシグニチャは、いわゆる Land Attack を捕捉します。

1103

400009

IP Overlapping Fragments (Teardrop)

攻撃

同じ IP データグラム内に含まれている 2 つのフラグメントのオフセット値が、そのデータグラム内の位置決めを共有していることを示す場合にトリガーされます。これは、フラグメント A がフラグメント B によって完全に上書きされること、またはフラグメント A がフラグメント B によって部分的に上書きされることを意味します。オペレーティング システムによっては、このように重複するフラグメントが正しく処理されず、重複フラグメントを受信すると例外処理を実行したり、他の不適切な動作を行ったりします。Teardrop 攻撃では、これを悪用して DoS 状態を引き起こします。

2000

400010

ICMP Echo Reply

情報

IP ヘッダーのプロトコル フィールドが 1(ICMP)に設定され、ICMP ヘッダーのタイプ フィールドが 0(エコー応答)に設定された IP データグラムを受信するとトリガーされます。

2001

400011

ICMP Host Unreachable

情報

IP ヘッダーのプロトコル フィールドが 1(ICMP)に設定され、ICMP ヘッダーのタイプ フィールドが 3(ホスト到達不能)に設定された IP データグラムを受信するとトリガーされます。

2002

400012

ICMP Source Quench

情報

IP ヘッダーのプロトコル フィールドが 1(ICMP)に設定され、ICMP ヘッダーのタイプ フィールドが 4(ソース クエンチ)に設定された IP データグラムを受信するとトリガーされます。

2003

400013

ICMP Redirect

情報

IP ヘッダーのプロトコル フィールドが 1(ICMP)に設定され、ICMP ヘッダーのタイプ フィールドが 5(リダイレクト)に設定された IP データグラムを受信するとトリガーされます。

2004

400014

ICMP Echo Request

情報

IP ヘッダーのプロトコル フィールドが 1(ICMP)に設定され、ICMP ヘッダーのタイプ フィールドが 8(エコー要求)に設定された IP データグラムを受信するとトリガーされます。

2005

400015

ICMP Time Exceeded for a Datagram

情報

IP ヘッダーのプロトコル フィールドが 1(ICMP)に設定され、ICMP ヘッダーのタイプ フィールドが 11(データグラムの超過時間)に設定された IP データグラムを受信するとトリガーされます。

2006

400016

ICMP Parameter Problem on Datagram

情報

IP ヘッダーのプロトコル フィールドが 1(ICMP)に設定され、ICMP ヘッダーのタイプ フィールドが 12(データグラムのパラメータ問題)に設定された IP データグラムを受信するとトリガーされます。

2007

400017

ICMP Timestamp Request

情報

IP ヘッダーのプロトコル フィールドが 1(ICMP)に設定され、ICMP ヘッダーのタイプ フィールドが 13(タイムスタンプ要求)に設定された IP データグラムを受信するとトリガーされます。

2008

400018

ICMP Timestamp Reply

情報

IP ヘッダーのプロトコル フィールドが 1(ICMP)に設定され、ICMP ヘッダーのタイプ フィールドが 14(タイムスタンプ応答)に設定された IP データグラムを受信するとトリガーされます。

2009

400019

ICMP Information Request

情報

IP ヘッダーのプロトコル フィールドが 1(ICMP)に設定され、ICMP ヘッダーのタイプ フィールドが 15(情報要求)に設定された IP データグラムを受信するとトリガーされます。

2010

400020

ICMP Information Reply

情報

IP ヘッダーのプロトコル フィールドが 1(ICMP)に設定され、ICMP ヘッダーのタイプ フィールドが 16(ICMP 情報応答)に設定された IP データグラムを受信するとトリガーされます。

2011

400021

ICMP Address Mask Request

情報

IP ヘッダーのプロトコル フィールドが 1(ICMP)に設定され、ICMP ヘッダーのタイプ フィールドが 17(アドレス マスク要求)に設定された IP データグラムを受信するとトリガーされます。

2012

400022

ICMP Address Mask Reply

情報

IP ヘッダーのプロトコル フィールドが 1(ICMP)に設定され、ICMP ヘッダーのタイプ フィールドが 18(アドレス マスク応答)に設定された IP データグラムを受信するとトリガーされます。

2150

400023

Fragmented ICMP Traffic

攻撃

IP ヘッダーのプロトコル フィールドが 1(ICMP)に設定され、他にも 1(ICMP)に設定されたフラグメント フラグが存在するか、またはオフセット フィールドにオフセット値が指定されている IP データグラムを受信するとトリガーされます。

2151

400024

Large ICMP Traffic

攻撃

IP ヘッダーのプロトコル フィールドが 1(ICMP)に設定され、IP 長が 1024 より大きくなっている IP データグラムを受信するとトリガーされます。

2154

400025

Ping of Death Attack

攻撃

IP ヘッダーのプロトコル フィールドが 1(ICMP)に設定され、Last Fragment ビットが設定され、(IP オフセット * 8)+(IP データ長)> 65535 になっている(つまり、IP オフセット(元のパケットでのこのフラグメントの開始位置、8 バイト単位)と残りのパケットの合計が IP パケットの最大サイズより大きくなっている)IP データグラムを受信するとトリガーされます。

3040

400026

TCP NULL flags

攻撃

SYN、FIN、ACK、または RST のどのフラグも設定されていない 1 つの TCP パケットが特定のホストに送信されるとトリガーされます。

3041

400027

TCP SYN+FIN flags

攻撃

SYN および FIN のフラグが設定されている 1 つの TCP パケットが特定のホストに送信されるとトリガーされます。

3042

400028

TCP FIN only flags

攻撃

1 つの孤立 TCP FIN パケットが特定のホストの特権ポート(ポート番号が 1024 未満)に送信されるとトリガーされます。

3153

400029

FTP Improper Address Specified

情報

要求側ホストと異なるアドレスを指定して port コマンドが発行された場合にトリガーされます。

3154

400030

FTP Improper Port Specified

情報

1024 未満または 65535 より大きい値のデータ ポートを指定して port コマンドが発行された場合にトリガーされます。

4050

400031

UDP Bomb attack

攻撃

指定されている UDP 長が、指定されている IP 長より短い場合にトリガーされます。この不正な形式のパケット タイプは、DoS(サービス拒絶)攻撃と関連付けられています。

4051

400032

UDP Snork attack

攻撃

送信元ポートが 135、7、または 19 のいずれかで、宛先ポートが 135 になっている UDP パケットが検出されるとトリガーされます。

4052

400033

UDP Chargen DoS attack

攻撃

このシグニチャは、送信元ポート 7 および宛先ポート 19 において UDP パケットが検出されるとトリガーされます。

6050

400034

DNS HINFO Request

情報

DNS サーバから HINFO レコードへのアクセスが試みられるとトリガーされます。

6051

400035

DNS Zone Transfer

情報

送信元ポートが 53 の通常の DNS ゾーン転送が実行されるとトリガーされます。

6052

400036

DNS Zone Transfer from High Port

情報

送信元ポートが 53 以外のときに不正な DNS ゾーン転送が発生するとトリガーされます。

6053

400037

DNS Request for All Records

情報

すべてのレコードに対する DNS 要求があるとトリガーされます。

6100

400038

RPC Port Registration

情報

ターゲット ホストで新しい RPC サービスを登録する試みがあるとトリガーされます。

6101

400039

RPC Port Unregistration

情報

ターゲット ホストで既存の RPC サービスを登録解除する試みがあるとトリガーされます。

6102

400040

RPC Dump

情報

ターゲット ホストに対して RPC ダンプ要求が発行されるとトリガーされます。

6103

400041

Proxied RPC Request

攻撃

ターゲット ホストのポートマッパーにプロキシ RPC 要求が送信されるとトリガーされます。

6150

400042

ypserv (YP server daemon) Portmap Request

情報

YP サーバ デーモン(ypserv)ポートのポートマッパーに対して要求が行われるとトリガーされます。

6151

400043

ypbind (YP bind daemon) Portmap Request

情報

YP バインド デーモン(ypbind)ポートのポートマッパーに対して要求が行われるとトリガーされます。

6152

400044

yppasswdd (YP password daemon) Portmap Request

情報

YP パスワード デーモン(yppasswdd)ポートのポートマッパーに対して要求が行われるとトリガーされます。

6153

400045

ypupdated (YP update daemon) Portmap Request

情報

YP 更新デーモン(ypupdated)ポートのポートマッパーに対して要求が行われるとトリガーされます。

6154

400046

ypxfrd (YP transfer daemon) Portmap Request

情報

YP 転送デーモン(ypxfrd)ポートのポートマッパーに対して要求が行われるとトリガーされます。

6155

400047

mountd (mount daemon) Portmap Request

情報

マウント デーモン(mountd)ポートのポートマッパーに対して要求が行われるとトリガーされます。

6175

400048

rexd (remote execution daemon) Portmap Request

情報

リモート実行デーモン(rexd)ポートのポートマッパーに対して要求が行われるとトリガーされます。

6180

400049

rexd (remote execution daemon) Attempt

情報

rexd プログラムの呼び出しが行われるとトリガーされます。リモート実行デーモンは、プログラムをリモート実行する役割を担うサーバです。rexd プログラムの呼び出しは、システム リソースへの不正アクセスの試みを示唆している場合があります。

6190

400050

statd Buffer Overflow

攻撃

サイズの大きな statd 要求が送信されるとトリガーされます。これは、バッファをオーバーフローさせてシステムへアクセスしようとする試みの可能性があります。

フラグメント サイズの設定

デフォルトで、セキュリティ アプライアンスは、IP パケットあたり最大 24 のフラグメントと、最大 200 のリアセンブリ待ちフラグメントを許可します。NFS over UDP など、定常的にフラグメント化を行うアプリケーションを使用する場合は、ネットワーク上でのフラグメントを許容しなければならないこともあります。ただし、トラフィックをフラグメント化するアプリケーションを使用しない場合は、セキュリティ アプライアンスをフラグメントが通過するのを許可しないことをお勧めします。フラグメント化されたパケットはよく DoS 攻撃として使用されます。

フィールド

[Fragment] テーブル:

[Interface]:セキュリティ アプライアンスの使用可能なインターフェイスを一覧表示します。

[Size]:リアセンブリを待機する IP リアセンブリ データベースに格納可能なパケットの最大数を設定します。デフォルトは 200 です。

[Chain Length]:1 つの完全な IP パケットにフラグメント化できる最大パケット数を指定します。デフォルトは 24 パケットです。

[Timeout]:フラグメント化されたパケット全体の到着を待機する最大秒数を指定します。タイマーは、パケットの最初のフラグメントが到着したときに始動します。パケットのすべてのフラグメントが指定した秒数内に到着しないと、すでに受信しているパケットのフラグメントはすべて破棄されます。デフォルトは 5 秒です。

[Edit]:[Edit Fragment] ダイアログボックスを開きます。

[Show Fragment]:パネルが開き、セキュリティ アプライアンスのインターフェイスごとに現在の IP フラグメント データベースの統計情報が表示されます。

フラグメント パラメータの変更

インターフェイスの IP フラグメント データベースのパラメータを変更するには、次の手順を実行します。


ステップ 1 [Fragment] テーブルで変更するインターフェイスを選択し、 [Edit] をクリックします。[Edit Fragment] ダイアログボックスが表示されます。

ステップ 2 [Edit Fragment] ダイアログボックスで、[Size]、[Chain]、および [Timeout] の値を必要に応じて変更し、 [OK] をクリックします。間違った場合は、 [Restore Defaults] をクリックします。

ステップ 3 [Fragment] パネルの [Apply] をクリックします。


 

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

[Show Fragment]

[Show Fragment] パネルには、IP フラグメント リアセンブリ モジュールの動作データが表示されます。

フィールド

[Size]: 表示専用 。リアセンブリを待機する IP リアセンブリ データベース内のパケット数を表示します。デフォルトは 200 です。

[Chain]: 表示専用 。1 つの完全な IP パケットにフラグメント化できる最大パケット数を表示します。デフォルトは 24 パケットです。

[Timeout]: 表示専用 。フラグメント化されたパケットの全体の到着を待機する最大秒数を表示します。タイマーは、パケットの最初のフラグメントが到着したときに始動します。パケットのすべてのフラグメントが表示の秒数内に到着しないと、すでに受信しているパケットのフラグメントはすべて破棄されます。デフォルトは 5 秒です。

[Threshold]: 表示専用 。IP パケットのしきい値、つまりその値を超えるとリアセンブリ モジュールで新しいチェーンを作成できなくなる限界を表示します。

[Queue]: 表示専用 。キュー内でリアセンブリを待機している IP パケットの数を表示します。

[Assembled]: 表示専用 。正常にリアセンブリされた IP パケットの数を表示します。

[Fail]: 表示専用 。リアセンブリの失敗試行回数を表示します。

[Overflow]: 表示専用 。オーバーフロー キュー内の IP パケットの数を表示します。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

[Edit Fragment]

[Edit Fragment] ダイアログボックスでは、選択したインターフェイスの IP フラグメント データベースを設定できます。

フィールド

[Interface]:[Fragment] パネルで選択したインターフェイスを表示します。[Edit Fragment] ダイアログボックスでの変更内容は、表示されたインターフェイスに適用されます。

[Size]:リアセンブリを待機する IP リアセンブリ データベースに格納可能なパケットの最大数を設定します。

[Chain Length]:1 つの完全な IP パケットにフラグメント化できる最大パケット数を指定します。

[Timeout]:フラグメント化されたパケット全体の到着を待機する最大秒数を設定します。タイマーは、パケットの最初のフラグメントが到着したときに始動します。パケットのすべてのフラグメントが指定した秒数内に到着しないと、すでに受信しているパケットのフラグメントはすべて破棄されます。

[Restore Defaults]:工場出荷時のデフォルト設定に戻します。

[Size] は 200 です。

[Chain] は 24 パケットです。

[Timeout] は 5 秒です。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

Anti-Spoofing の設定

[Anti-Spoofing] ウィンドウでは、インターフェイスで Unicast Reverse Path Forwarding(Unicast RPF; ユニキャスト逆経路転送)をイネーブルにできます。Unicast RPF は、ルーティング テーブルに従い、すべてのパケットが正しい発信元インターフェイスと一致する送信元 IP アドレスを持っていることを確認して、IP スプーフィング(パケットが不正な送信元 IP アドレスを使用し、実際の送信元を隠蔽すること)から保護します。

通常、セキュリティ アプライアンスは、パケットの転送先を判定するときに、宛先アドレスだけを調べます。Unicast RPF は、送信元アドレスも調べるようにセキュリティ アプライアンスに指示します。そのため、逆経路転送(Reverse Path Forwarding)と呼ばれます。セキュリティ アプライアンスの通過を許可するすべてのトラフィックについて、送信元アドレスに戻るルートをセキュリティ アプライアンスのルーティング テーブルに含める必要があります。詳細については、RFC 2267 を参照してください。

たとえば、外部トラフィックの場合、セキュリティ アプライアンスはデフォルト ルートを使用して Unicast RPF 保護を満たすことができます。トラフィックが外部インターフェイスから入り、送信元アドレスがルーティング テーブルにない場合、セキュリティ アプライアンスはデフォルト ルートを使用して、外部インターフェイスを発信元インターフェイスとして正しく識別します。

ルーティング テーブルにあるアドレスから外部インターフェイスにトラフィックが入り、このアドレスが内部インターフェイスに関連付けられている場合、セキュリティ アプライアンスはパケットをドロップします。同様に、未知の送信元アドレスから内部インターフェイスにトラフィックが入った場合は、一致するルート(デフォルト ルート)が外部インターフェイスを示しているため、セキュリティ アプライアンスはパケットをドロップします。

Unicast RPF は、次のように実装されます。

ICMP パケットにはセッションがないため、個々のパケットはチェックされません。

UDP と TCP にはセッションがあるため、最初のパケットは逆ルート ルックアップが必要です。セッション中に到着する後続のパケットは、セッションの一部として保持されている既存の状態を使用してチェックされます。最初のパケット以外のパケットは、最初のパケットと同じインターフェイスに到着したことを保証するためにチェックされます。

フィールド

[Interface]:インターフェイス名を一覧表示します。

[Anti-Spoofing Enabled]:インターフェイスで Unicast RPF がイネーブルになっているかどうかを、Yes または No で示します。

[Enable]:選択したインターフェイスに対する Unicast RPF をイネーブルにします。

[Disable]:選択したインターフェイスに対する Unicast RPF をディセーブルにします。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

--

TCP オプションの設定

[TCP Options] ペインでは、TCP 接続のパラメータを設定できます。

フィールド

[Inbound and Outbound Reset]:着信および発信トラフィックの拒否された TCP 接続をリセットするかどうかを設定します。

[Interface]:インターフェイス名を表示します。

[Inbound Reset]:着信 TCP トラフィックのインターフェイスのリセット設定を、Yes または No で示します。この設定をイネーブルにすると、セキュリティ アプライアンスは、セキュリティ アプライアンスの通過を試み、アクセスリストまたは AAA の設定に基づいてセキュリティ アプライアンスにより拒否されたすべての着信 TCP セッションについて TCP リセットを送信します。同じセキュリティ レベルのインターフェイス間のトラフィックも影響を受けます。このオプションをイネーブルにしない場合は、拒否されたパケットがセキュリティ アプライアンスによって自動的に破棄されます。

[Outbound Reset]:発信 TCP トラフィックのインターフェイスのリセット設定を、Yes または No で示します。この設定をイネーブルにすると、 セキュリティ アプライアンスは、セキュリティ アプライアンスの通過を試み、アクセスリストまたは AAA の設定に基づいてセキュリティ アプライアンスにより拒否されたすべての発信 TCP セッションについて TCP リセットを送信します。同じセキュリティ レベルのインターフェイス間のトラフィックも影響を受けます。このオプションをイネーブルにしない場合は、拒否されたパケットがセキュリティ アプライアンスによって自動的に破棄されます。

[Edit]:インターフェイスの着信および発信のリセット設定値を設定します。

[Other Options]:追加の TCP オプションを設定します。

[Send Reset Reply for Denied Outside TCP Packets]:セキュリティ レベルが最も低いインターフェイスで終了し、またアクセスリストまたは AAA の設定に基づいてセキュリティ アプライアンスにより拒否された TCP パケットのリセットをイネーブルにします。 このオプションをイネーブルにしない場合は、拒否されたパケットがセキュリティ アプライアンスによって自動的に破棄されます。セキュリティ レベルが最も低いインターフェイスの Inbound Resets をイネーブルにする場合([TCP Reset Settings]を参照)は、この設定もイネーブルにする必要はありません。Inbound Resets は、セキュリティ アプライアンスへのトラフィックとともに、セキュリティ アプライアンスを通過するトラフィックも処理します。

[Force Maximum Segment Size for TCP]:最大 TCP セグメント サイズを 48 から最大数の範囲のバイト数で設定します。デフォルト値は 1380 バイトです。この機能は、0 バイトに設定することによってディセーブルにできます。ホストとサーバの両方は、最初に接続を確立するときに最大セグメント サイズを設定できます。どちらかの最大値がここで設定する値を超えると、セキュリティ アプライアンスはその最大値を無効化し、ユーザが設定した値を挿入します。たとえば、ユーザが最大サイズを 1200 バイトに設定した場合に、ホストが最大サイズとして 1300 バイトを要求すると、セキュリティ アプライアンスは 1200 バイトを要求するようにパケットを変更します。

[Force Minimum Segment Size for TCP]:48 から最大数の間で、ユーザが設定したバイト数未満にならないように最大セグメント サイズを上書きします。この機能はデフォルトでディセーブルになっています(0 に設定)。ホストとサーバの両方は、最初に接続を確立するときに最大セグメント サイズを設定できます。いずれかの最大値が [Force Minimum Segment Size for TCP Proxy] フィールドで設定した値未満になる場合、セキュリティ アプライアンスはその最大値を無効化し、ユーザが設定した「最小」値を挿入します(最小値は、実際には許容される最大値の中での最小の値です)。たとえば、ユーザが最小サイズを 400 バイトに設定した場合に、ホストが最大値として 300 バイトを要求すると、セキュリティ アプライアンスは 400 バイトを要求するようにパケットを変更します。

[Force TCP Connection to Linger in TIME_WAIT State for at Least 15 Seconds]:最後の標準 TCP クローズダウン シーケンスの後、最低でも 15 秒間、各 TCP 接続が短縮 TIME_WAIT 状態に保持するように強制します。この機能は、エンド ホスト アプリケーションのデフォルト TCP 終了シーケンスが同時クローズの場合に使用できます。セキュリティ アプライアンスのデフォルト動作では、シャットダウン シーケンスが追跡され、2 つの FIN、および最後の FIN セグメントの ACK の後に接続が解放されます。この即時解放ヒューリスティックにより、セキュリティ アプライアンスは、標準クローズ シーケンスと呼ばれる最も一般的なクロージング シーケンスに基づいて高い接続率を維持できます。ただし同時クローズでは、トランザクションの両エンドがクロージング シーケンスを開始します。これは、一方のエンドがクローズすると、もう一方のエンドは確認応答してからそれ自体のクロージング シーケンスを開始する、標準クローズ シーケンス(RFC 793 を参照)の場合とは対照的です。したがって、同時クローズでは、接続の一方の側が即時解放によって強制的に CLOSING 状態に保持されます。CLOSING 状態になっているソケットが数多く存在すると、エンド ホストのパフォーマンスが低下する可能性があります。たとえば、一部の WinSock メインフレーム クライアントは、このような動作が生じてメインフレーム サーバのパフォーマンスを低下させることで知られています。この機能を使用すると、同時クローズダウン シーケンスを完了するためのウィンドウが作成されます。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

[TCP Reset Settings]

このダイアログボックスでは、インターフェイスの着信および発信のリセット設定値を設定します。

フィールド

[Send Reset Reply for Denied Inbound TCP Packets]:セキュリティ アプライアンスの通過を試み、アクセスリストまたは AAA の設定に基づいてセキュリティ アプライアンスにより拒否されたすべての着信 TCP セッションについて TCP リセットを送信します。同じセキュリティ レベルのインターフェイス間のトラフィックも影響を受けます。このオプションをイネーブルにしない場合は、拒否されたパケットがセキュリティ アプライアンスによって自動的に破棄されます。

ID 要求(IDENT)接続をリセットする必要がある場合には、着信トラフィックのリセットを明示的に送信できます。拒否されたホストに TCP RST(TCP ヘッダーのリセット フラグ)を送信すると、RST が着信 IDENT プロセスを停止するため、IDENT がタイムアウトになるのを待つ必要がなくなります。IDENT のタイムアウトを待機すると、外部ホストは IDNET がタイムアウトになるまで SYN の再送信を続けるため、トラフィックの速度が低下する可能性があります。そのため、 service resetinbound コマンドによってパフォーマンスが改善される場合があります。

[Send Reset Reply for Denied Outbound TCP Packets]:セキュリティ アプライアンスの通過を試み、アクセスリストまたは AAA の設定に基づいてセキュリティ アプライアンスにより拒否されたすべての発信 TCP セッションについて TCP リセットを送信します。同じセキュリティ レベルのインターフェイス間のトラフィックも影響を受けます。このオプションをイネーブルにしない場合は、拒否されたパケットがセキュリティ アプライアンスによって自動的に破棄されます。このオプションはデフォルトでイネーブルになっています。たとえば、発信リセットをディセーブルにして、トラフィック ストーム中の CPU の負荷を軽減させることができます。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

グローバル タイムアウトの設定

[imeouts] ペインでは、セキュリティ アプライアンスで使用するタイムアウトの期間を設定できます。すべての期間は、hh:mm:ss の形式で表示されます。さまざまなプロトコルの接続スロットと変換スロットのアイドル時間を設定します。指定したアイドル時間中にスロットが使用されなかった場合は、リソースがフリー プールに戻されます。TCP 接続スロットは、標準接続クローズ シーケンスのおよそ 60 秒後に解放されます。


) カスタマー サポートによる指示がない限り、これらの値を変更しないことをお勧めします。


フィールド

[Authentication absolute] と [Authentication inactivity] を除くすべての場合において、チェックボックスをオフにすることはタイムアウト値を指定しないことを意味します。これら 2 つの場合にチェックボックスをオフにすることは、新しい接続ごとに再認証することを意味します。

[Connection]:接続スロットが解放されるまでのアイドル時間を変更します。接続のタイムアウトをディセーブルにするには、0:0:0 と入力します。期間は 5 分以上にする必要があります。デフォルトは 1 時間です。

[Half-closed]:TCP ハーフクローズ接続がクローズするまでのアイドル時間を変更します。最小値は 5 分です。デフォルトは 10 分です。ハーフクローズ接続のタイムアウトをディセーブルにするには、0:0:0 と入力します。

[UDP]:UDP プロトコル接続がクローズするまでのアイドル時間を変更します。この期間は 1 分以上にする必要があります。デフォルトは 2 分です。タイムアウトをディセーブルにするには、0:0:0 と入力します。

[ICMP]:全般的な ICMP 状態がクローズするまでのアイドル時間を変更します。

[H.323]:H.323 メディア接続がクローズするまでのアイドル時間を変更します。デフォルトは 5 分です。タイムアウトをディセーブルにするには、0:0:0 と入力します。

[H.225]:H.225 シグナリング接続がクローズするまでのアイドル時間を変更します。H.225 のデフォルト タイムアウトは 1 時間(01:00:00)です。値を 00:00:00 にすると、この接続はクローズされません。すべての呼び出しがクリアされた後にこの接続をすぐにクローズするには、値を 1 秒(00:00:01)にすることをお勧めします。

[MGCP]:MGCP メディア ポートがクローズするまでのアイドル時間を表す MGCP のタイムアウト値を変更します。MGCP のデフォルト タイムアウトは 5 分(00:05:00)です。タイムアウトをディセーブルにするには、0:0:0 と入力します。

[MGCP PAT]:MGCP PAT 変換が削除されるまでのアイドル時間を変更します。デフォルトは 5 分(00:05:00)です。最小時間は 30 秒です。デフォルト値に戻すには、チェックボックスをオフにします。

[SUNRPC]:SunRPC スロットが解放されるまでのアイドル時間を変更します。この期間は 1 分以上にする必要があります。デフォルトは 10 分です。タイムアウトをディセーブルにするには、0:0:0 と入力します。

[SIP]:SIP シグナリング ポート接続がクローズするまでのアイドル時間を変更します。期間は 5 分以上にする必要があります。デフォルトは 30 分です。

[SIP Media]:SIP メディア ポート接続がクローズするまでのアイドル時間を変更します。この期間は 1 分以上にする必要があります。デフォルトは 2 分です。

[SIP Provisional Media]:SIP 暫定メディア接続のタイムアウト値を 0:1:0 ~ 1193:0:0 の間で変更します。デフォルトは 2 分です。

[SIP Invite]:PROVISIONAL 応答とメディア xlate のピンホールがクローズされるまでのアイドル時間を変更します。最小値は 0:1:0 で、最大値は 0:30:0 です。デフォルト値は 0:03:00 です。

[SIP Disconnect]:CANCEL または BYE メッセージで 200 個の OK を受信しない場合に、SIP セッションを削除するまでのアイドル時間を変更します。最小値は 0:0:1 で、最大値は 0:10:0 です。デフォルト値は 0:02:00 です。

[Authentication absolute]:認証キャッシュがタイムアウトになり、新しい接続を再認証する必要が生じるまでの期間を変更します。この期間は、[Translation Slot] の値より短くする必要があります。システムは、新しい接続を開始して再びプロンプトが表示されるまで待機します。新しい接続のすべてでキャッシングと再認証をディセーブルにするには、0:0:0 と入力します。


) 接続でパッシブ FTP を使用する場合は、この値を 0:0:0 に設定しないでください。



) [Authentication Absolute] = 0 の場合、HTTPS 認証は動作しない場合があります。HTTPS 認証後に、ブラウザが複数の TCP 接続を開始して Web ページをロードすると、最初の接続は通過しますが、その後の接続では認証が起動されます。その結果、正常に認証された後も、繰り返し認証ページが表示されます。この状態を回避するには、認証の絶対タイムアウト値を 1 秒に設定します。この回避策を使用すると、認証されていないユーザが同じ送信元 IP アドレスからアクセスすれば 1 秒間だけファイアウォールを通過できるおそれがあります。


[Authentication inactivity]:認証キャッシュがタイムアウトになり、ユーザが新しい接続を再認証する必要が生じるまでのアイドル時間を変更します。この期間は、[Translation Slot] の値より短くする必要があります。

[Translation Slot]:変換スロットが解放されるまでのアイドル時間を変更します。この期間は 1 分以上にする必要があります。デフォルトは 3 時間です。タイムアウトをディセーブルにするには、0:0:0 と入力します。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--