300シリーズマネージドスイッチのセキュリティスイート設定

目的

Cisco 300シリーズマネージドスイッチのセキュリティスイートは、サービス拒否(DoS)攻撃からの保護を提供します。DoS攻撃は、誤ったトラフィックでネットワークをフラッディングするため、ネットワークサーバリソースが使用できなくなったり、正当なユーザに応答しなくなります。一般に、DoS攻撃には2種類あります。ブルートフォースDoS攻撃はサーバをフラッディングし、サーバとネットワークの帯域幅を消費します。システムをクラッシュさせるTCP SYNメッセージなどのプロトコルの脆弱性を体系的に攻撃で操作します。この記事では、300シリーズマネージドスイッチのセキュリティスイートで使用可能な設定について説明します。

注：アクセスコントロールリスト(ACL)および高度なQoSポリシーは、DoS攻撃保護が有効なポートではアクティブになりません。

該当するデバイス

・ SF/SG 300シリーズマネージドスイッチ

[Software Version]

•1.3.0.62

セキュリティスイートの設定

ステップ1:Web構成ユーティリティにログインし、[Security] > [Denial of Service Prevention] > [Security Suite Settings]を選択します。「セキュリティ・スイートの設定」ページが開きます。

注：CPU保護メカニズムは、300シリーズマネージドスイッチではデフォルトで有効になっており、無効にすることはできません。このスイッチはSecure Core Technology(SCT)を使用します。これにより、受信されるトラフィックの総量に関係なく、スイッチは管理トラフィックとプロトコルトラフィックを処理できます。 

ステップ2:（オプション）[CPU Utilization]フィールドの[Details]をクリックして、CPU使用率を表示します。詳細については、「200/300シリーズマネージドスイッチのCPU使用率」を参照してください。

ステップ3:（オプション）[TCP SYN Protection]フィールドの[Edit]をクリックして、TCP SYN Protectionの設定を編集します。詳細については、「300シリーズマネージドスイッチの同期(SYN)フィルタリング設定」を参照してください。

ステップ4:[DoS Prevention（DoS防御）]フィールドで、使用するDoS防御の方法に対応するオプションボタンをクリックします。使用可能なオプションは次のとおりです。

・ Disable:DoS保護機能を無効にします。[Disable]を選択した場合は、ステップ13に進みます。

・システム – レベル防止：侵入からのトロイの木馬、スタチェルドレール配布、バックオリフィストロイの木馬、および火星のアドレスから保護するDoS保護機能を有効にします。

・ System - Level-Prevention and Interface-Level Protection:Denial of Service Protectionエリアで定義されているすべてのセキュリティ対策を有効にします。

ステップ5：送信元TCPポート番号が16660のTCPパケットを廃棄するには、[Stacheldraht Distribution]フィールドの[Enable]チェックボックスをオンにします。

ステップ6：宛先TCPポートが2140、送信元TCPポートが1024のTCPパケットを廃棄するには、[Investor Trojan]フィールドの[Enable] チェックボックスをオンにします。

ステップ7：宛先UDPポートが31337、送信元UDPポートが1024のUDPパケットを廃棄するには、Back Orifis TrojanフィールドのEnableチェックボックスをオンにします。

注：DoS攻撃は数百にのぼりますが、上記のポートは悪意のあるアクティビティのために一般的に悪用されます。ただし、正規のトラフィックにも使用されます。  上記のいずれかのポートを使用するデバイスがある場合、その情報はブロックされます。

ステップ8:[Martian Addresses]フィールドの[Edit]をクリックして、[Martian Addresses]テーブルを編集します。Martian Addresses Tableは、選択されたIPアドレスからパケットを廃棄します。Martianアドレスのリストを編集するには、「300シリーズマネージドスイッチにおけるDenial of Service(DoS)Martianアドレスの設定」を参照してください。

注：ステップ9 ～ 12では、ステップ4でシステムレベルとインターフェイスレベルの防御を選択する必要があります。別のDoS防御タイプを選択した場合は、ステップ13に進みます。

ステップ9:[SYN Filtering]フィールドで[Edit]をクリックし、管理者が特定のTCPポートをブロックできるようにします。SYNフィルタリングを設定するには、「300シリーズマネージドスイッチのサービス拒否(DoS)SYNフィルタリングの設定」を参照してください。

ステップ10:[SYN Rate Protection]フィールドの[Edit]をクリックして、受信するSYNパケットの数を制限します。SYNレート保護を設定するには、「300シリーズマネージドスイッチでのSYNレート保護」を参照してください。

ステップ11:[ICMP Filtering]フィールドで[Edit]をクリックし、特定の送信元からのICMPパケットをブロックできるようにします。ICMPフィルタリングを設定するには、『300シリーズマネージドスイッチでのInternet Control Message Protocol(ICMP)フィルタリングの設定』を参照してください。

ステップ12:[IP Fragmented]フィールドの[Edit]をクリックして、フラグメント化されたIPパケットをブロックします。IPフラグメントフィルタリングを設定するには、『300シリーズマネージドスイッチでのDenial of Service(DoS)IPフラグメントフィルタリングの設定』を参照してください。

ステップ13:[適用]をクリックして変更を保存するか、[キャンセル]をクリックして変更をキャンセルします。