CUPS でのファイアウォールのサポート

マニュアルの変更履歴


(注)  

リリース 21.24 よりも前に導入された機能については、詳細な改訂履歴は示していません。

改訂の詳細

リリース

初版

21.24 より前

機能説明

CUPS アーキテクチャのサブスクライバ ファイアウォール機能を使用すると、ステートレスおよびステートフル パケット インスペクションとパケットフィルタリングを設定して、サブスクライバを悪意のある攻撃から保護できます。ファイアウォールの設定により、システムはサブスクライバ データ セッションの各パケットを検査できます。また、セキュリティ脅威を評価し、アップリンクおよびダウンリンクトラフィックに設定されたポリシーを適用します。


(注)  

CUPS でのサブスクライバ ファイアウォールの実装は、非 CUPS アーキテクチャでのファイアウォールの実装に似ています。非 CUPS のサブスクライバ ファイアウォールの詳細については、PSF アドミニストレーション ガイド [英語] を参照してください。

概要

ファイアウォール機能は、以下に対応しています。

  • DoS 攻撃

  • DDoS 攻撃

  • パケットフィルタリング

  • ステートレスおよびステートフル パケット インスペクション

  • アプリケーション レベル ゲートウェイ

  • SNMP のしきい値とロギング

デフォルトのファイアウォール機能の設定

次に、FW ポリシーのデフォルト設定を示します。

configure 
            active-charging service service_name 
               fw-and-nat policy policy_name 
               end

前述のサービス設定に加えて、サービス内のさまざまな FW 関連 CLI のデフォルトの CLI 動作を次に示します。

Dos-Protection:
      Source-Route                      			: Disabled
      Win-Nuke                          			: Disabled
      Mime-Flood                        			: Disabled
      FTP-Bounce                        			: Disabled
      IP-Unaligned-Timestamp            			: Disabled
      Seq-Number-Prediction             			: Disabled
      TCP-Window-Containment            			: Disabled
      Teardrop                          			: Disabled
      UDP Flooding                      			: Disabled
      ICMP Flooding                     			: Disabled
      SYN Flooding                      			: Disabled
      Port Scan                         			: Disabled
      IPv6 Extension Headers Limit      			: Disabled
      IPv6 Hop By Hop Options           			: Disabled
      Hop By Hop Router Alert Option    			: Disabled
      Hop By Hop Jumbo Payload Option   			: Disabled
      Invalid Hop By Hop Options        			: Disabled
      Unknown Hop By Hop Options        			: Disabled
      IPv6 Destination Options          			: Disabled
      Invalid Destination Options       			: Disabled
      Unknown Destination Options       			: Disabled
      IPv6 Nested Fragmentation         			: Disabled

    Max-Packet-Size:
      ICMP                       				: 65535
      Non-ICMP                   				: 65535
    Flooding:
      ICMP limit                 				: 1000
      UDP limit                  				: 1000
      TCP-SYN limit              				: 1000
      Sampling Interval          				: 1

    TCP-SYN Flood Intercept:
      Mode                       				: None
      Max-Attempts               				: 5
      Retrans-timeout            				: 60
      Watch-timeout              				: 30
    Mime-Flood Params:
      HTTP Header-Limit          				: 16
      HTTP Max-Header-Field-Size 				: 4096

    No Firewall Ruledef Match Action:
      Uplink Action              				: permit
      Downlink Action            				: deny

    TCP RST Message Threshold					: Disabled
    ICMP Dest-Unreachable Threshold				: Disabled
    Action upon receiving TCP SYN packet with ECN/CWR Flag set   	: Permit
    Action upon receiving a malformed packet		: Deny
    Action upon IP Reassembly Failure			: Deny
    Action upon receiving an IP packet with invalid Options	: Permit
    Action upon receiving a TCP packet with invalid Options	: Permit
    Action upon receiving an ICMP packet with invalid Checksum: Deny
    Action upon receiving a TCP packet with invalid Checksum: Deny
    Action upon receiving an UDP packet with invalid Checksum: Deny
    Action upon receiving an ICMP echo packet with id zero	: Permit
    TCP Stateful Checks	: Enabled
    First Packet Non-SYN Action: Drop
    ICMP Stateful Checks: Enabled
    TCP Partial Connection Timeout: 30

IPv4 および IPv6 のファイアウォールの有効化

以下に、IPv4 および IPv6 のファイアウォールを有効にするための設定を示します。

configure 
            active-charging service service_name 
               fw-and-nat policy policy_name 
                  firewall policy ipv4-and-ipv6 
                  end

サブスクライバ ファイアウォールの設定サポート

コントロールプレーンは、PFD 管理を通じて、サブスクライバ ファイアウォールに必要な設定をユーザープレーンにプッシュします。ファイアウォール設定は、アクティブな課金設定で使用できます。

  • Access-Rule-Defs

  • Firewall-Nat Policy

ファイアウォール機能を設定すると、ルールベース、APN ベース、サブスクライバベースのアクティベーションを使用したファイアウォール機能のアクティベーションがサポートされます。

ここでは、CUPS でサブスクライバ ファイアウォールを設定する際のさまざまな側面について詳しく説明します。

  • config delete コマンドは、設定をただちに削除されます。前述した設定は SCT から削除され、すべてのセッションマネージャからすぐに削除されるため、一括設定タイマーを待つことはありません。

  • CP から UP へのファイアウォール設定の追加、削除、変更は、CLI コマンド「push config-to-up all」を使用して伝達します。

モニタリングおよびトラブルシューティング

コントロールプレーンのデフォルトのファイアウォール機能の show コマンド出力を以下に示します。

show config active-charging service name acs verbose

fw-and-nat policy SFW_NAT_TEST
      no firewall dos-protection source-router
      no firewall dos-protection winnuke
      no firewall dos-protection mime-flood
      no firewall dos-protection ftp-bounce
      no firewall dos-protection ip-unaligned-timestamp
      no firewall dos-protection tcp-window-containment
      no firewall dos-protection teardrop
      no firewall dos-protection flooding udp
      no firewall dos-protection flooding icmp
      no firewall dos-protection flooding tcp-syn
      no firewall dos-protection port-scan
      no firewall dos-protection ipv6-extension-hdrs
      no firewall dos-protection ipv6-hop-by-hop
      no firewall dos-protection ipv6-hop-by-hop router-alert
      no firewall dos-protection ipv6-hop-by-hop jumbo-payload
      no firewall dos-protection ipv6-hop-by-hop invalid-options
      no firewall dos-protection ipv6-hop-by-hop unknown-options
      no firewall dos-protection ipv6-dst-options
      no firewall dos-protection ipv6-dst-options invalid-options
      no firewall dos-protection ipv6-dst-options unknown-options
      no firewall dos-protection ipv6-frag-hdr nested-fragmentation
      no firewall dos-protection ip-sweep tcp-syn
      no firewall dos-protection ip-sweep udp
      no firewall dos-protection ip-sweep icmp
      firewall max-ip-packet-size 65535 protocol icmp
      firewall max-ip-packet-size 65535 protocol non-icmp
      firewall flooding protocol icmp packet limit 1000
      firewall flooding protocol udp packet limit 1000
      firewall flooding protocol tcp-syn packet limit 1000
      firewall flooding sampling-interval 1
      firewall tcp-syn-flood-intercept mode none
      firewall tcp-syn-flood-intercept watch-timeout 30
      firewall mime-flood http-headers-limit 16
      firewall mime-flood max-http-header-field-size 4096
      no firewall icmp-destination-unreachable-message-threshold
      access-rule no-ruledef-matches uplink action permit
      access-rule no-ruledef-matches downlink action deny
      firewall tcp-idle-timeout-action reset
      no firewall tcp-reset-message-threshold
      firewall tcp-syn-with-ecn-cwr permit
      firewall malformed-packets drop
      firewall ip-reassembly-failure drop
      no firewall validate-ip-options
      firewall tcp-options-error permit
      firewall icmp-echo-id-zero permit
      firewall icmp-checksum-error drop
      firewall tcp-checksum-error drop
      firewall udp-checksum-error drop
      firewall tcp-fsm first-packet-non-syn drop
      firewall icmp-fsm
      firewall policy ipv4-and-ipv6
      firewall tcp-partial-connection-timeout 30
      no nat policy
      no nat binding-record
      no nat pkts-drop edr-format
      no nat pkts-drop timeout 
      default nat suppress-aaa-update
      nat private-ip-flow-timeout 180
      nat check-point-info basic limit-flows 100
      nat check-point-info sip-alg
      nat check-point-info h323-alg
      nat max-chunk-per-realm single-ip
    #exit

CUPS の show CLI

CUPS の show CLI を次に示します。

ユーザープレーンの場合:

  • show subscribers user-plane-only full all

  • show subscribers user-plane-only flows

  • show user-plane-service inline-services firewall statistics verbose

  • show user-plane-service statistics rulebase all

  • show alarm outstanding all

  • show alarm outstanding all verbose

  • show alarm statistics

  • show user-plane-service statistics rulebase name <rulebasename>

コントロールプレーンの場合:

  • show active-charging fw-and-nat policy all

  • show active-charging fw-and-nat policy name "fw_nat_policy_name"

  • show active-charging firewall track-list attacking-servers

  • show active-charging ruledef name

SNMP トラップ

以下に、CUPS のこの機能をサポートする SNMP トラップを示します。ユーザープレーンでそれぞれの trap CLI を使用して、トラップを有効にします。

  • Dos-Attacks:DoS 攻撃の数が設定されたしきい値を超えると SNMP トラップが生成され、設定された時間間隔内に DoS 攻撃の数がしきい値を下回るとトラップがクリアされます。

  • Drop-Packets:ドロップされたパケットの数がしきい値を超えると SNMP トラップが生成され、設定された時間間隔内にドロップされたパケット数がしきい値を下回るとトラップがクリアされます。

  • Deny-Rule:拒否ルールの数がしきい値を超えると SNMP トラップが生成され、設定された時間間隔内に拒否ルールの数がしきい値を下回るとトラップがクリアされます。

  • No-Rule:ルールなしの数がしきい値を超えると SNMP トラップが生成され、設定された時間間隔内にルールなしの数がしきい値を下回るとトラップがクリアされます。

リアセンブル動作の変更

次に、非 CUPS アーキテクチャとは異なる CUPS リアセンブルの詳細を示します。

  • 非 CUPS アーキテクチャでは、デフォルトの FW 設定の場合、フラグメントは最大 64K バイトまでバッファリングされます。64K を超えると、バッファリングされたすべてのフラグメントと後続のフラグメントがドロップされます。非 CUPS アーキテクチャでは、この 64K の制限は 30,000 から 65,535 の間で設定可能でした。CUPS では、最大 9K のパケットサイズを最大 6 つのフラグメントにリアセンブルできます。

  • 次に、CUPS で廃止された非 CUPS アーキテクチャの 4 つの CLI を示します。

    • firewall dos-protection teardrop

    • firewall dos-protection ipv6-frag-hdr nested-fragmentation

    • firewall max-ip-packet-size <30000-65535> protocol non-icmp

    • o firewall max-ip-packet-size <30000-65535>protocol icmp

  • 次に、ティアドロップ攻撃、ネストされたフラグメンテーション、および一般的な ip-reassembly-failure をカバーする単一の CLI を示します。Max-ip-packet-size のサポートは、6 つのフラグメント(最大 9,000 バイト)に制限されます。

    • o Firewall ip-reassembly-failure

  • ファイアウォール統計情報のカウンタを次に示します。このカウンタは、リアセンブルに関連するすべての攻撃に対して増分されます。

    • IPv4 リアセンブルの失敗が原因でドロップされたパケット数

    • IPv4 リアセンブル失敗時のダウンリンクドロップバイト数

    • IPv4 リアセンブル失敗時のアップリンクドロップバイト数

    • IPv6 リアセンブルの失敗が原因でドロップされたパケット数

    • IPv6 リアセンブル失敗時のダウンリンクドロップバイト数

    • IPv6 リアセンブル失敗時のアップリンクドロップバイト数