| ファイアウォール機能 管理者ガイド |
|
目次
索引
|
| 第2章 機能 | > 2.7 運用支援機能 | > 2.7.2 イベント機能(Solaris版/Windows版) |
検出したイベントは、システム管理者に通知するとともに、イベントの種別に応じて、以下の対処を行います。
以下のイベントは、イベント検出後、ファイアウォール機能で自動対処を行います。
異常パケット、又は異常通信を検出した場合、以降の同様な攻撃を未然に防止するため、ファイアウォール機能で、該当送信元IPアドレスからのIPパケットを破棄します。詳細は、「ブラックリスト制御」を参照してください。
また、ファイアウォール機能を経由して通信しているコネクション数の過負荷状態からのリカバリを図るため、ファイアウォール機能で許容する最大コネクション数を超えるコネクション要求パケットを破棄します。
詳細は、「リミッタ制御」、「単位時間リミッタ制御」を参照してください。
以下のいずれかの対処を行います。
イベントを生成したパケットの送信元IPアドレスに対して、ブラックリスト制御を適用します。
ブラックリスト制御とは、不正なイベントとして判断した不正アクセスを仕掛けている送信元IPアドレスからのパケットは、以降も何らかのセキュリティアタックが仕掛けられる恐れがあるものとして、ある一定期間、同一の送信元IPアドレスからのパケットを破棄する機能です。
この不正アクセスを仕掛けていると判断した送信元IPアドレスのリストをブラックリストと呼びます。
本機能により、最初に不正なイベントを検出したパケットについて警告イベントなどのイベントを生成し、以降の同一の送信元IPアドレスからのパケットを破棄します。
ブラックリスト制御の概要は、以下の通りです。
警告イベントを検出します。
送信元IPアドレスをブラックリストに登録します。
以降、受信したIPパケットの送信元IPアドレスが、ブラックリストに登録されている送信元IPアドレスと一致した場合、当該パケットを破棄します。
「動的エントリ解放タイマー」経過後、当該送信元IPアドレスをブラックリストから解放します。
ブラックリスト制御では、以下の環境設定パラメタを使用します。
ブラックリスト動的エントリ最大数
ブラックリストに保持できる最大IPアドレス数です。
ブラックリスト動的エントリ解放タイマー
ブラックリストに保持している送信元IPアドレスを解放する時間です。
なお、システム管理者が手動でブラックリスト静的エントリを設定することも可能です。
ブラックリスト静的エントリ
ブラックリストとして登録する送信元IPアドレスを設定します。
ファイアウォール機能で不正なイベントを検出しない場合でも、強制的に当該送信元IPアドレスからのパケットを破棄し、不正なイベントを生成することができます。
ブラックリスト非対象静的エントリ
ブラックリスト静的エントリとは逆に、ブラックリストとして判断しない送信元IPアドレスを設定します。
ファイアウォール機能で不正なイベントを検出した場合でも、当該送信元IPアドレスはブラックリストには登録されません。
ブラックリストに関する環境設定は、「SDFW運用管理サービス」、「アラート」、「不正アクセス管理」で設定します。
警告イベントのうち、以下のイベントに対して適用します。
ファイアウォール機能で許容する最大コネクション数超過イベント
ある一つのフィルタ条件上で許容する最大コネクション数超過イベント
リミッタ制御では、コネクション数過負荷状態からのリカバリを図るため、最大コネクション数を超えるコネクション確立要求が発生した場合に起動され、リミッタ制御を解除する最小コネクション数に落ち着くまで、コネクション確立要求パケットを破棄します。
リミッタ制御では、以下の環境設定パラメタを使用します。
最大コネクション数
ファイアウォール機能が許容する最大コネクション数です。
これを超えた場合、リミッタ制御が有効となり、コネクション確立を行うことができません。
制限解除コネクション数
リミッタ制御を解除する最小コネクション数です。
通信中のコネクション数が本値まで減少した場合、リミッタ制御は解除されます。
警告コネクション数
通信中のコネクション数負荷が増大していると判断するコネクション数です。
本値を超えた場合、リミッタ制御機能が解除されます。
リミッタ制御に関する環境設定は、「SDFW運用管理サービス」、「アラート」、「不正アクセス管理」、又は「異常通信監視」で設定します。
警告イベントのうち、以下のイベントに対して適用します。
ファイアウォール機能で許容する単位時間最大コネクション数超過イベント
単位時間リミッタ制御では、コネクション数の急激な過負荷状態への遷移を防止するため、単位時間内に最大確立コネクション数を超えるコネクション確立要求が発生した場合に当該コネクション確立要求パケットを破棄します。
単位時間リミッタ制御では、以下の環境設定パラメタを使用します。
コネクション数
ファイアウォール機能が許容する単位時間最大確立コネクション数です。
これを超えた場合、コネクション確立を行うことができません。
単位時間
ファイアウォール機能が最大確立コネクション数を計測する単位時間です。
単位時間リミッタ制御に関する環境設定は、「SDFW運用管理サービス」、「アラート」、「異常通信監視」で設定します。
ALERTイベントのうち、以下のイベントに対して適用します。
SYN-Attackアラート
SYN-Attackアラート
TCPコネクションは、クライアント/サーバ間双方でSYNパケットを送受信する3ウェイハンドシェイクにより確立されます。つまり、サーバ上には3ウェイハンドシェイクを完了するために、確立途上のTCPコネクション(TCP状態では、SYN_RCVD状態といいます)が保留されていることになります。
アタッカは、このTCPプロトコルの特性を利用して、3ウェイハンドシェイクを完了させない偽造パケットを、ターゲットサーバに送信することで、ターゲットサーバサービスを停止させることができます(DoS攻撃)。
このような攻撃を、SYN Attack(又は、SYN Flood)攻撃と呼びます。
本製品では、これへの対応として、送受信されるそれぞれのパケットの内容(TCPフラグ)を解析し、3ウェイハンドシェイクが完了していない、TCPコネクション確立途上の コネクションを監視しています。
本製品のSYN Attack防止機能では、このような確立途上のコネクションを検出した場合、ターゲットサーバにRSTパケットを送信し、ターゲットサーバ上の確立途上のTCPコネクションを強制的に解放します。
また、SYN-Attackと判断した送信元IPアドレスは、ブラックリストにエントリされます。
SYN-Attack対応では、以下の環境設定パラメタを使用します。
SYN_RCVDコネクション保留数
サーバ上のコネクション状態が、「SYN_RCVD」状態のコネクションを保留するコネクション数です。
ACK パケット待合せ時間
クライアントからのACK パケットを待ち合わせる時間です。
SYN-Attack対応に関する環境設定は、「SDFW運用管理サービス」、「アラート」、「異常通信監視」で設定します。
アラートイベントのうち、以下のイベントに対して適用します。
ポートスキャンアラート
ポートスキャンアラート
ポートスキャン対応では、単位時間あたりの送信元IPアドレスから送信先IPアドレスに対する複数の送信先ポート番号への通信を捕捉し、不当に大量の送信先ポート番号へのアクセスが発生している場合、当該送信元IPアドレスからのパケットを破棄します。
また、ポートスキャンと判断した送信元IPアドレスは、ブラックリストにエントリされます。
ポートスキャン対応では、以下の環境設定パラメタを使用します。
監視ポート数
同一の送信元IPアドレスから単位時間内に通信しようとする送信先ポート数を設定します。
本値を超えて、送信先ポートへのアクセスが発生した場合、ポートスキャンと判断します。
送信元ポート数
同一の送信元IPアドレスから単位時間内に通信しようとする送信元ポート数を設定します。
本値を超えて、送信元ポートからアクセスが発生した場合、ポートスキャンと判断します。
監視単位時間
監視ポート数、送信元ポート数を計測する時間です。
ポートスキャン対応に関する環境設定は、「SDFW運用管理サービス」、「アラート」、「異常通信監視」で設定します。
|
目次
索引
|