分散型サービス妨害攻撃に対する保護に関する情報
ファイアウォール セッションのアグレッシブ エージング
アグレッシブ エージング機能により、ファイアウォールは、セッションを積極的にエージング アウトし、新しいセッションのためのスペースを確保することで、ファイアウォール セッション データベースがいっぱいになるのを防ぐことができます。ファイアウォールはそのリソースを保護するため、アイドル セッションを削除します。アグレッシブ エージング機能により、ファイアウォール セッションが存在できる時間は、タイマーで定義されている時間(エージングアウト時間)よりも短くなります。
アグレッシブ エージング機能には、アグレッシブ エージング期間の開始と終了を定義するしきい値(高位水準点と低位水準点)があります。アグレッシブ エージング期間は、セッション テーブルが高位水準点を超えると開始され、低位水準点を下回ると終了します。アグレッシブ エージングの期間中、セッションの存続期間は、エージングアウト時間を使用して設定した期間よりも短くなります。ファイアウォールがセッションを終了する時間よりも短い時間で攻撃者がセッションを開始する場合、セッションを作成するために割り当てられているすべてのリソースが使用され、新しいすべての接続が拒否されます。このような攻撃を防ぐには、セッションを積極的にエージングアウトするようにアグレッシブ エージング機能を設定できます。この機能はデフォルトで無効に設定されています。
ボックス レベル(ボックスはファイアウォール セッション テーブル全体を示します)および Virtual Routing and Forwarding(VRF)レベルで、ハーフオープン セッションおよび総セッションにアグレッシブ エージングを設定できます。この機能を総セッションに対して設定している場合、ファイアウォール セッション リソースを使用するすべてのセッションが考慮されます。総セッションは、確立されたセッション、ハーフオープン セッション、および不明確セッション データベース内のセッションで構成されます。(確立状態に達していない TCP セッションはハーフオープン セッションと呼ばれます)。
ファイアウォールには 2 つのセッション データベースがあります。1 つはセッション データベースで、もう 1 つは不正確なセッション データベースです。セッション データベースには、5 タプル(送信元 IP アドレス、宛先 IP アドレス、送信元ポート、宛先ポート、およびプロトコル)が設定されているセッションが含まれます。タプルは、要素の番号付きリストです。不正確なセッション データベースには、5 つ未満のタプル(欠落した IP アドレス、ポート番号など)のセッションが含まれます。ハーフオープン セッションのアグレッシブ エージングでは、ハーフオープン セッションだけが考慮されます。
Internet Control Message Protocol(ICMP)、TCP、および UDP ファイアウォール セッションにはアグレッシブ エージングアウト時間を設定できます。エージングアウト時間は、デフォルトではアイドル時間に設定されます。
イベント レート モニタリング機能
イベント レート モニタリング機能は、ゾーンの事前定義イベントのレートをモニタします。イベント レート モニタリング機能には基本脅威検出機能が含まれています。これはセキュリティ デバイスの機能であり、ファイアウォールの内側にあるリソースで発生する可能性のある脅威、異常、および攻撃を検出し、それらに対するアクションを実行します。イベントの基本脅威検出レートを設定できます。特定タイプのイベントの着信レートが、設定されている脅威検出レートを超えると、イベント レート モニタリング機能はこのイベントを脅威と見なし、脅威を阻止するためのアクションを実行します。脅威検出機能は、入力ゾーンでのみイベントを検査します(イベント レート モニタリング機能が入力ゾーンで有効な場合)。
ネットワーク管理者に対し、発生する可能性のある脅威に関する情報がアラート メッセージ(syslog または高速ロガー(HSL))で通知されます。ネットワーク管理者は攻撃ベクトルの検出、攻撃元ゾーンの検出、または特定の動作やトラフィックをブロックするようにネットワーク上のデバイスを設定するなどのアクションを実行できます。
イベント レート モニタリング機能は、次のタイプのイベントをモニタします。
-
基本ファイアウォール チェックが失敗したためにファイアウォールがドロップする:これには、ゾーンまたはゾーンペアのチェック失敗、ドロップ アクションを使用して設定されたファイアウォール ポリシーなどがあります。
-
レイヤ 4 インスペクションの失敗が原因でファイアウォールがドロップする:これには、1 番目の TCP パケットが同期(SYN)パケットではないために失敗した TCP インスペクションが含まれることがあります。
-
TCP SYN Cookie 攻撃:これには、ドロップされた SYN パケットの数と、スプーフィング攻撃として送信された SYN Cookie の数の集計が含まれることがあります。
イベント レート モニタリング機能は、さまざまなイベントの平均レートとバースト レートをモニタします。各イベント タイプにはレート オブジェクトがあります。レート オブジェクトは、設定可能なパラメータ(平均しきい値、バーストしきい値、期間)が含まれる関連レートにより制御されます。期間はタイム スロットに分割されます。各タイム スロットは期間の 1/30 です。
平均レートは、イベント タイプごとに計算されます。各レート オブジェクトは、30 個の完了済みサンプリング値と、現在進行中のサンプリング期間を保持するための 1 つの値を保持します。計算済みの最も古い値が現在のサンプリング値で置き換えられ、平均が再計算されます。平均レートは各期間で計算されます。平均レートが平均しきい値を超えると、イベント レート モニタリング機能はこれを潜在的な脅威と解釈し、統計情報を更新し、ネットワーク管理者に通知します。
バースト レートは、トークン バケット アルゴリズムを使用して実装されます。各タイムスロットで、トークン バケットがトークンで埋められます。発生する(特定のイベント タイプの)イベントごとに、バケットからトークンが削除されます。空のバケットは、バーストしきい値に到達したことを意味し、管理者が syslog または HSL からアラームを受信します。 show policy-firewall stats zone コマンドの出力から、脅威検出統計情報を確認し、ゾーン内でさまざまなイベントに対する潜在的な脅威を理解することができます。
最初に threat-detection basic-threat コマンドを使用して、基本脅威検出機能を有効にする必要があります。基本脅威検出機能を設定したら、脅威検出レートを設定できます。脅威検出レートを設定するには、threat-detection rate コマンドを使用します。
次の表では、イベント レート モニタリング機能が有効な場合に適用可能な基本脅威検出のデフォルト設定について説明します。
パケット ドロップの理由 |
脅威検出の設定 |
---|---|
基本的なファイアウォール ドロップ |
平均レート 400 パケット/秒(pps) バースト レート 1600 pps レート間隔 600 秒 |
インスペクション ベースのファイアウォール ドロップ |
平均レート 400 pps バースト レート 1600 pps レート間隔 600 秒 |
SYN 攻撃ファイアウォール ドロップ |
平均レート 100 pps バースト レート 200 pps レート間隔 600 秒 |
ハーフオープン接続の制限
ファイアウォール セッション テーブルでは、ファイアウォールのハーフオープン接続数を制限できるようになっています。ハーフオープン セッション数を制限することで、ハーフオープン セッションでボックスごとのレベルや Virtual Routing and Forwarding(VRF)レベルでファイアウォール セッション テーブルをいっぱいにしてセッションを確立できないようにする攻撃に対し、ファイアウォールを防御できます。ハーフオープン接続の制限は、レイヤ 4 プロトコル、Internet Control Message Protocol(ICMP)、TCP、UDP に対して設定できます。UDP ハーフオープン セッション数に対して設定された制限は、TCP や ICMP のハーフオープン セッションには影響しません。設定されたハーフオープン セッションの制限を超えると、すべての新規セッションが拒否され、ログ メッセージが Syslog または高速ロガー(HSL)に生成されます。
-
3 ウェイ ハンドシェイクを完了していない TCP セッション。
-
UDP フローで 1 つのパケットだけが検出された UDP セッション。
-
ICMP エコー要求または ICMP タイムスタンプ要求に対する応答を受信していない ICMP セッション。
TCP SYN フラッド攻撃
グローバルの TCP SYN フラッド制限を設定して、SYN フラッド攻撃を制限できます。TCP SYN フラッド攻撃は、サービス妨害(DoS)攻撃の一種です。設定済みの TCP SYN フラッド制限に達すると、ファイアウォールは、さらにセッションを作成する前に、セッションの送信元を確認します。通常は、TCP SYN パケットはファイアウォールの背後のターゲット エンド ホストまたはサブネット アドレスの範囲に送信されます。これらの TCP SYN パケットによって、送信元 IP アドレスがスプーフィングされます。スプーフィング攻撃では、個人やプログラムが偽のデータを使用してネットワーク内のリソースにアクセスしようとします。TCP SYN フラッディングは、ファイアウォールまたはエンド ホスト上のすべてのリソースを乗っ取る可能性があるため、サービス妨害がトラフィックを正当化することになります。TCP SYN フラッド保護は、VRF レベルとゾーン レベルで設定できます。
-
ホスト フラッド:SYN フラッド パケットが単一のホストに送信され、そのホスト上のすべてのリソースを使用することが意図されます。
-
ファイアウォール セッション テーブル フラッド:SYN フラッド パケットがファイアウォールの背後のアドレスの範囲に送信され、ファイアウォール上のセッション テーブル リソースを枯渇させ、その結果、リソースの拒否がファイアウォールを通過するトラフィックを正当化することが意図されます。