| ファイアウォール機能 管理者ガイド |
|
目次
索引
|
| 第2章 機能 | > 2.7 運用支援機能 | > 2.7.2 イベント機能(Solaris版/Windows版) |
ファイアウォール機能が検出するイベントには、以下のものがあります。
情報(INFO)イベント
警告(WARN)イベント
エラー(ERROR)イベント
以下に、それぞれのイベントについて説明します。
フィルタ活性化/非活性化やファイアウォールサービスの起動/停止など、ファイアウォール機能の動作状態の遷移に伴って発生するイベントです。
本イベントを監視することにより、ファイアウォール機能が意図した通りに動作しているか否かを判断することができます。
情報イベントには、以下のものがあります。
IPパケットフィルタの活性化/非活性化
ロギング機能の開始/停止
アドレス変換機能の開始/停止
仮想アドレス広報機能の開始/停止
SDFW暗号通信機能の開始/停止
IPsec/IKE暗号通信機能の開始/停止
認証サービスの開始/停止
ポリシーエージェント機能の開始/停止
管理コンソールからのポリシー情報の受信開始/終了
ポリシー情報の適用開始/終了
情報イベントの詳細については、「ファイアウォール機能 メッセージ集」の「通知メッセージ」を参照してください。
不正アクセスに関するセキュリティアラートの検出、又はファイアウォール機能が動作する上で必要なリソース不足等の兆候(リトライ可能エラー)や暗号通信機能の破棄パケットの検出に伴って発生するイベントです。
本アラートイベントにより、不正アクセスの兆候等の監視、又はファイアウォール機能の正常動作を維持するために必要な措置を実施することができます。
警告イベントには、以下のものがあります。
異常パケット
異常通信
リソース不足
ユーザ設定イベント
以下に、ファイアウォール機能が検出する主な警告イベントについて説明します。
なお、警告イベントの詳細については、「ファイアウォール機能 メッセージ集」の「警告メッセージ」を参照してください。
異常パケット監視に関する環境設定は、「SDFW運用管理サービス」、「異常パケット監視」で設定します。
なお、以下の異常パケットについては、「Interstage Security Director (Window版)」では検出できません。
Tiny Fragment
Overlapped Fragment
IP Fragment Attack
LAND Attack
説明
巨大なIPパケットを相手に送り付け、対象のコンピュータやルータをクラッシュさせる恐れがあります(DOS攻撃)。
該当パケットに対する処置
16Kバイト以上(最大64Kバイト)のIPパケットを検出したとき、異常パケットと判断し破棄します。
該当パケット検出以降の対処
送信元IPアドレスは、ブラックリストにエントリされ、以降、当該エンドシステム間で送受信されるすべてのIPパケットを破棄します。
説明
IPオプションの始点経路制御オプション(Source Route Option)を使用して、中間経路上のホスト/ルータからのIPパケットであるかのように偽造することができます。これにより、不正なIPパケットが内部ネットワーク上のホストに到達する恐れがあります(侵入)。
該当パケットに対する処置
IP Option(IPV4)、又は拡張ヘッダ(IPV6)が付加されたIPパケットを検出したとき、異常パケットと判断し破棄します。
該当パケット検出以降の対処
送信元IPアドレスは、ブラックリストにエントリされ、以降、当該エンドシステム間で送受信されるすべてのIPパケットを破棄します。
説明
TCP パケットに対するフィルタリング機能を、先頭のフラグメントパケットでしか行わない製品/機器が存在することを利用して、先頭のフラグメントパケットにTCP フラグを含まないようなフラグメントを行います。これにより、2番目以降のフラグメントパケットが内部ネットワーク上のホストに到達する恐れがあります(侵入)。
該当パケットに対する処置
Tiny Fragmentパケットを検出したとき、異常パケットと判断し破棄します。
該当パケット検出以降の対処
送信元IPアドレスは、ブラックリストにエントリされ、以降、当該エンドシステム間で送受信されるすべてのIPパケットを破棄します。
説明
IPパケットに対するフィルタリング機能を、先頭のフラグメントパケットでしか行わない製品/機器が存在することを利用して、IPパケットのフラグメントオフセットが重複するようにフラグメント化したパケットを送信します。これにより、2番目以降のフラグメントパケットが内部ネットワーク上のホストに到達する恐れがあります(侵入)。
該当パケットに対する処置
Overlapped Fragmentパケットを検出したとき、異常パケットと判断し破棄します。
該当パケット検出以降の対処
送信元IPアドレスは、ブラックリストにエントリされ、以降、当該エンドシステム間で送受信されるすべてのIPパケットを破棄します。
説明
対象マシンにIPフラグメントパケットを大量に送信し、対象マシンのフラグメントパケットの保留リソースの枯渇を図ります。これにより、対象マシンの動作異常を誘発させる恐れがあります(DOS)。
該当パケットに対する処置
IPフラグメントパケットが規定時間以内(30秒固定)にすべて受信できない場合、異常パケットと判断し破棄します。
該当パケット検出以降の対処
送信元IPアドレスは、ブラックリストにエントリされ、以降、当該エンドシステム間で送受信されるすべてのIPパケットを破棄します。
説明
送信元と送信先が同一のIPアドレスであるTCP SYNパケットを送信し、対象マシンからの応答パケットのループダウンを誘発します。これにより、対象マシンのサービス不可状況が発生する恐れがあります(DOS)。
該当パケットに対する処置
LAND Attackパケットを検出したとき、異常パケットと判断し破棄します。
該当パケット検出以降の対処
送信元IPアドレスは、ブラックリストにエントリされ、以降、当該エンドシステム間で送受信されるすべてのIPパケットを破棄します。
説明
対象マシンにTCP パケットを送信し、その応答により、ポートの状態を確認します(スキャン)。
TCP flag異常として検出する条件は、以下の通りです。
すべてのflagをOFF(NULL Scan)
FIN flagをON(FIN Scan)
FIN|URG|PUSHフラグをON(Xmas Scan)
0x80 または0x40ビットをON(不正ビットON)
SYNとRST、またはFINとRSTがON(不正な組合せ)
該当パケットに対する処置
TCP ステルススキャンを検出したとき、異常パケットと判断し破棄します。
該当パケット検出以降の対処
送信元IPアドレスは、ブラックリストにエントリされ、以降、当該エンドシステム間で送受信されるすべてのIPパケットを破棄します。
説明
送信先ポート番号、または送信元ポート番号のいずれかが0のパケットを対象マシンに送信します。これにより、対象マシンの誤動作を誘発する恐れがあります(DOS)。
該当パケットに対する処置
ポート番号が0のパケットを検出したとき、異常パケットと判断し破棄します。
該当パケット検出以降の対処
送信元IPアドレスは、ブラックリストにエントリされ、以降、当該エンドシステム間で送受信されるすべてのIPパケットを破棄します。
説明
対象マシンにチェックサムが異常なパケットを送信します。これにより、対象マシンの誤動作を誘発する恐れがあります(DOS)。
該当パケットに対する処置
チェックサムが異常なパケットを検出したとき、異常パケットと判断し破棄します。
該当パケット検出以降の対処
送信元IPアドレスは、ブラックリストにエントリされ、以降、当該エンドシステム間で送受信されるすべてのIPパケットを破棄します。
説明
パケットの通過状況を監視しないファイアウォールを利用して、ファイアウォールを通過設定するパケットについて、要求パケット(TCP:SYN、ICMP:ECHO-Request)通過前に応答パケットを対象マシンに送信します。これにより、対象マシンの動作異常を誘発する恐れがあります(侵入)。
該当パケットに対する処置
異常シーケンスパケットを検出した場合、異常パケットと判断し破棄します。
該当パケット検出以降の対処
送信元IPアドレスは、ブラックリストにエントリされ、以降、当該エンドシステム間で送受信されるすべてのIPパケットを破棄します。
異常通信監視に関する環境設定は、「SDFW運用管理サービス」、「異常通信監視」で設定します。
説明
対象マシンが信頼できる相手システムに見せかけます。対象マシンは、通信相手は信用できる相手システムと誤認識してしまうため、対象マシンに侵入され、さらなる攻撃の恐れが増大する可能性があります(侵入)。
該当パケットに対する処置
IP Spoofingパケットを検出した場合、異常パケットと判断し破棄します。
本アラート監視では、IP Spoofing監視を行うアダプタを指定します。
該当パケット検出以降の対処
送信元IPアドレスは、ブラックリストにエントリされ、以降、当該エンドシステム間で送受信されるすべてのIPパケットを破棄します。
説明
比較的長時間かけて、対象マシンが過負荷状態に陥る恐れがあります。
ある一時点では、さほど大きなコネクション負荷でなくても、それらが継続的に繰り返されることで、対象マシンのコネクション負荷を高騰させます(DoS)。
処置
リミッタ制御により、対象マシンの過負荷を防止します。
リミッタ制御
以下の3つのパラメタを保持し、各リミッタ値を監視しながら、アラートイベントを検出します。
1ルール当たりの最大コネクション数
このリミッタを超えることはできません。
本値を超えた場合に、1ルール当たり最大コネクション数オーバのALERT通知の契機となります。
1ルール当たりの警告コネクション数
1ルール当たりの最大コネクション数に近づいていることを示します。
本値を超えた場合に、1ルール当たり警告コネクション数オーバのWARNING通知の契機となります。
制限解除コネクション数
1ルール当たりの最大コネクション数オーバによりコネクション確立が制限されていた状態を解除するリミッタです。
本値を下回った場合に、リミッタ制限が解除されます。
説明
急激に対象マシンが過負荷状態に陥る恐れがあります(DoS)。
処置
単位時間あたりのリミッタ制御により、対象マシンの過負荷を防止します。
単位時間あたりのリミッタ制御
以下の2つのパラメタを保持し、単位時間あたりのリミッタ値を監視しながら、アラートイベントを検出します。
単位時間
監視する時間です。
単位時間当たりのコネクション数
このリミッタを超えることはできません。本値を超えた場合に、ALERT通知の契機となります。
説明
対象マシンに送信元IPを偽造したSYNパケットを大量に送信し、対象マシンのTCP コネクションリソースを枯渇させ、新たなTCP コネクション確立を妨害します(DOS)。
該当パケットに対する処置
SYN Attackパケットを検出した場合(未完了のTCP 3-Way Handshakeを行っている送信元IP)、対象マシン上に作成されている着呼保留コネクション(SYN_RCVD)を回収するとともに、当該パケットを破棄します。
本アラート監視では、対象マシン上に作成されている着呼保留コネクション数(SYN_RCVD)、及びACK パケットの待ち合わせ時間を指定します。
該当パケット検出以降の対処
送信元IPアドレスは、ブラックリストにエントリされ、以降、当該エンドシステム間で送受信されるすべてのIPパケットを破棄します。
説明
対象マシンで利用可能なポート情報を取得します。これにより、対象マシンのOS種別や標的となるポートをある程度識別することが可能となります。なお、本方法は、対象マシン上にスキャン攻撃の痕跡を残す場合があり、ステルススキャンに比べ、最近ではあまり利用されていないと言われています。
該当パケットに対する処置
同一送信元からの送信先ポートが規定数破棄又は拒否された場合、ポートスキャンパケットと判断し破棄します。
本アラート監視では、監視単位時間、監視ポート数、及び監視する送信元ポート数を指定します。
該当パケット検出以降の対処
送信元IPアドレスは、ブラックリストにエントリされ、以降、当該エンドシステム間で送受信されるすべてのIPパケットを破棄します。
リソース監視に関する環境設定は、「SDFW運用管理サービス」、「システムパラメタ」で設定します。
説明
ファイアウォール機能で処理できるコネクション数が枯渇したことを示します。
リミッタ制御
リミッタ制御により、本製品で処置できるコネクション数を設定します。
コネクション数リミッタに関する環境設定は、「SDFW運用管理サービス」、「システムパラメータ」、「コネクション管理」で設定します。
最大コネクション数
このリミッタを超えることはできません。
本値を超えた場合に、最大コネクション数オーバの警告イベントの契機となります。
警告コネクション数
最大コネクション数に近づいていることを示します。
本値を超えた場合に、警告コネクション数オーバの警告イベントの契機となります。
制限解除コネクション数
最大コネクション数オーバによりコネクション確立が制限されていた状態を解除するリミッタです。
本値を下回った場合に、制限解除コネクション数によるリミッタ解除の情報イベントの契機となります。
説明
ファイアウォール機能動作中にメモリ不足が発生したことを示します。
説明
IPマスカレードによるアドレス変換時に、ファイアウォール機能上でリザーブしているIPマスカレード用ポートリソースが枯渇したことを示します。
ユーザ設定アラートに関する環境設定は、「SDFW運用管理サービス」、「不正アクセス管理」で設定してください。
説明
通信を許可しない送信元IPアドレスを設定します。環境設定でブラックリストから削除しない限り、解除できません。
処置
設定されている送信元IPからのパケットは破棄されます。
なお、非ブラックリストにも該当する場合でも、本ブラックリストの設定が優先されます。
説明
動的に不正アクセスアラートの送信元IPアドレスと判断された送信元IPアドレスでも、ブラックリストの制御を行いません。環境設定で非ブラックリストから削除しない限り、解除できません。
処置
ブラックリストと判断された送信元IPからのパケットであっても、ブラックリストとしての制御は行われません(パケットは破棄されません)。
なお、ブラックリストにも該当する場合、ブラックリストの設定が優先されます。
ファイアウォール機能の動作を阻害するイベント(リトライ不能エラー)の検出に伴って発生するイベントです。
本イベントにより、ファイアウォール機能の正常動作を保持できなくなったイベントを監視することができます。
エラーイベントには、以下のものがあります。
リトライ不能リソース不足
ERRORイベントの詳細については、「ファイアウォール機能 メッセージ集」の「エラーメッセージ」を参照してください。
|
目次
索引
|