- このマニュアルについて
- ASDM の概要
- プリファレンスの定義および コンフィギュレーション、診断、 ファイル管理ツールの使用
- 始める前に
- スタートアップ ウィザードの使用
- インターフェイスの設定
- マルチモードのインターフェイスの 設定
- Cisco ASA 5505 適応型セキュリティ アプライアンス用スイッチ ポート および VLAN インターフェイスの設定
- グローバル オブジェクトの追加
- セキュリティ コンテキストの設定
- デバイスの設定値と管理の設定
- DHCP、DNS、および WCCP サービス
- AAA サーバとユーザ アカウントの 設定
- 管理アクセスの設定
- 高可用性
- ロギングの設定
- ダイナミック ルーティングおよび スタティック ルーティングの設定
- マルチキャスト ルーティングの設定
- ファイアウォール モードの 概要
- アクセス ルールの設定
- EtherType ルールの設定
- AAA ルールの設定
- フィルタ ルールの設定
- サービス ポリシー ルールの設定
- アプリケーション レイヤ プロトコル 検査の設定
- NAT の設定
- ARP 検査およびブリッジング パラメータの設定
- 高度なファイアウォール保護の設定
- QoS の設定
- VPN
- SSL VPN ウィザード
- IKE
- 一般的な VPN 設定
- ダイナミック アクセス ポリシーの設定
- クライアントレス SSL VPN
- クライアントレス SSL VPN のエンド ユーザ設定
- 電子メール プロキシ
- SSL 設定の指定
- 証明書の設定
- IPS の設定
- Trend Micro Content Security の設定
- ロギングのモニタリング
- Trend Micro Content Security の モニタリング
- フェールオーバーのモニタリング
- インターフェイスのモニタリング
- ルーティングのモニタリング
- VPN のモニタリング
- プロパティのモニタリング
- 機能の ライセンスと仕様
- 認可と認証のための外部サーバの設定
- 索引
Cisco ASDM ユーザ ガイド Version 6.0(3)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月13日
章のタイトル: 高度なファイアウォール保護の設定
高度なファイアウォール保護の設定
この章では、保護機能を設定することによってネットワーク攻撃を防止する方法を説明します。次の項で構成されています。
•
「接続の設定」
(注) Configuration > Firewall > Advanced 領域で設定する、Sun RPC サーバと暗号化トラフィック検査の設定値(およびこの章に含まれる多くの項目)については、第 24 章「アプリケーション レイヤ プロトコル検査の設定」を参照してください。
脅威検出の設定
この項では、スキャン脅威検出と基本脅威検出を設定する方法について説明します。次の項目を取り上げます。 脅威検出は、シングルモードでのみ使用できます。
• 「Threat Detection のフィールドの説明」
脅威検出の統計情報を表示するには、「Firewall Dashboard タブ」を参照してください。
基本脅威検出の設定
基本脅威検出は、DoS 攻撃(サービス拒絶攻撃)などの攻撃に関連している可能性のあるアクティビティを検出します。 基本脅威検出はデフォルトでイネーブルになっています。
基本脅威検出の概要
セキュリティ アプライアンスは、基本脅威検出を使用して、次の理由によるドロップ パケットとセキュリティ イベントのレートを監視します。
• パケット形式の不良(invalid-ip-header や invalid-tcp-hdr-length など)。
• 接続制限の超過(システム全体のリソース制限とコンフィギュレーションに設定されている制限の両方)。
• DoS 攻撃の検出(無効な SPI、ステートフル ファイアウォール チェックの失敗など)。
• 基本ファイアウォール チェックの失敗(この箇条書きのファイアウォール関連のパケット ドロップをすべて含んだ合計レート。 インターフェイスの過負荷、アプリケーション検査で不合格となったパケット、スキャン攻撃の検出など、ファイアウォール関連ではないドロップは含まれません)。
• スキャン攻撃の検出(このオプションではスキャン攻撃を監視します。たとえば、最初の TCP パケットが SYN パケットではない場合や、TCP 接続で 3 ウェイ ハンドシェイクが失敗した場合などです。 完全スキャン脅威検出(「スキャン脅威検出の設定」を参照)は、このスキャン攻撃レート情報を参照し、ホストを攻撃者として分類し、自動的に除外することで対処します)。
• TCP SYN 攻撃の検出やデータのない UDP セッション攻撃の検出など、不完全なセッションの検出。
セキュリティ アプライアンスは、脅威を検出すると、ただちにシステム ログ メッセージ(730100)を送信します。
基本脅威検出がパフォーマンスに影響を与えるのは、ドロップや潜在的な脅威がある場合のみです。その場合でも、パフォーマンスへの影響はわずかです。
基本脅威検出の設定
基本脅威検出をイネーブルまたはディセーブルにするには、Configuration > Firewall > Threat Detection ペインで、 Enable Basic Threat Detection チェックボックスをオンまたはオフにします。
このオプションはデフォルトで、パケット ドロップや不完全なセッションの検出など、特定のタイプのセキュリティ イベントの検出をイネーブルにします。 必要な場合は、イベントのタイプごとにデフォルトの設定を上書きできます。
イベント レートが超過すると、セキュリティ アプライアンスはシステム メッセージを送信します。 セキュリティ アプライアンスは、一定間隔での平均イベント レートと、それより短いバースト間隔でのバースト イベント レートという、2 つのタイプのレートを追跡します。 バースト レート間隔は、平均レート間隔の 1/60 と 10 秒のどちらか長い方になります。 受信イベントごとに、セキュリティ アプライアンスは平均レート制限とバースト レート制限をチェックし、どちらのレートも超過している場合は、2 つのシステム メッセージ(各バースト期間のレート タイプごとに最大 1 メッセージ)を別個に送信します。
表27-1 にデフォルト設定を示します。
|
|
|
|
|---|---|---|
|
|
|
|
スキャン脅威検出の設定
典型的なスキャン攻撃は、サブネット内のすべての IP アドレスにアクセスできるかどうかを試す(サブネット内の複数のホストを順にすべてスキャンするか、1 つのホストまたはサブネットの複数のポートを順にすべてスイープする)ホストから行われます。 スキャン脅威検出機能は、いつホストがスキャンを実行するかを判定します。 トラフィック シグニチャに基づく IPS スキャン検出とは異なり、セキュリティ アプライアンスのスキャン脅威検出機能では、スキャン アクティビティがあるかどうかの分析に使用可能なホストの統計情報が含まれる広範なデータベースが維持されます。
ホスト データベースは、リターン アクティビティのない接続、閉じているサービス ポートへのアクセス、脆弱な TCP の動作(ランダムではない IPID など)など、多くの疑わしい動作を追跡します。
攻撃者に関するシステム ログ メッセージを送信するようにセキュリティ アプライアンスを設定できます。または自動的にホストを除外できます。
ステップ 1 スキャン脅威検出をイネーブルにするには、Configuration > Firewall > Threat Detection ペインで、 Enable Scanning Threat Detection チェックボックスをオンにします。
デフォルトでは、ホストが攻撃者と特定されると、システム ログ メッセージ 730101 が生成されます。
セキュリティ アプライアンスは、スキャン脅威レートが超過すると、ホストを攻撃者またはターゲットとして特定します。 セキュリティ アプライアンスは、一定間隔での平均イベント レートと、それより短いバースト間隔でのバースト イベント レートという、2 つのタイプのレートを追跡します。 バースト イベント レートは、平均レート間隔の 1/60 と 10 秒のどちらか長い方になります。 スキャン攻撃の一部であると考えられるイベントが検出されるたびに、セキュリティ アプライアンスは平均レート制限とバースト レート制限をチェックします。 ホストが送信したトラフィックについてどちらかのレートが超過していると、そのホストは攻撃者と見なされます。 ホストが受信したトラフィックについてどちらかのレートが超過していたら、そのホストはターゲットと見なされます。
表27-2 に、スキャン脅威検出のデフォルトのレート制限を示します。
|
|
|
|---|---|
ステップ 2 (オプション)セキュリティ アプライアンスがホストを攻撃者と特定した場合に自動的にそのホスト接続を終了するには、 Shun Hosts detected by scanning threat チェックボックスをオンにします。
ステップ 3 (オプション)ホストの IP アドレスを除外対象から外すには、 Networks excluded from shun フィールドにアドレスを入力します。
複数のアドレスまたはサブネットは、カンマで区切って入力できます。 IP アドレス オブジェクトのリストからネットワークを選択するには、 ... ボタンをクリックします。
脅威の統計情報の設定
広範な統計情報を収集するようにセキュリティ アプライアンスを設定できます。 脅威検出統計情報には、許可されたトラフィックとドロップされたトラフィックの両方のレートが表示されます。 デフォルトでは、アクセスリストの統計情報はイネーブルになっています。
脅威検出の統計情報を表示するには、「Firewall Dashboard タブ」を参照してください。
• すべての統計情報をイネーブルにするには、Configuration > Firewall > Threat Detection ペインで、 Enable All Statistics オプション ボタンをオンにします。
• すべての統計情報をディセーブルにするには、Configuration > Firewall > Threat Detection ペインで、 Disable All Statistics オプション ボタンをオンにします。
• 特定の統計情報のみをイネーブルにするには、Configuration > Firewall > Threat Detection ペインで、 Enable Only Following Statistics オプション ボタンをオンにし、次のチェックボックスの中から 1 つ以上をオンにします。
– Hosts :ホスト統計情報をイネーブルにします。 ホスト統計情報は、ホストがアクティブの間はずっとスキャン脅威ホスト データベースに蓄積されます。 ホストは、非アクティブな状態が 10 分間続くとデータベースから削除されます(統計情報はクリアされます)。
– Access Rules (デフォルトでイネーブル):アクセスルール統計情報をイネーブルにします。
Threat Detection のフィールドの説明
Threat Detection ペインでは、基本脅威検出およびスキャン脅威検出を設定できます。
• Basic Threat Detection:基本脅威検出は、DoS 攻撃などの攻撃に関連している可能性のあるアクティビティを検出します。 基本脅威検出はデフォルトでイネーブルになっています。
–Enable Basic Threat Detection:基本脅威検出をイネーブルにします。詳細については、「基本脅威検出の設定」を参照してください。
• Scanning Threat Detection:スキャン脅威検出機能は、いつホストがスキャンを実行するかを判定します。
–Enable Scanning Threat Detection:スキャン脅威検出をイネーブルにします。詳細については、「スキャン脅威検出の設定」を参照してください。
–Shun Hosts detected by scanning threat:セキュリティ アプライアンスがホストを攻撃者と特定した場合、自動的にそのホスト接続を終了します。
Networks excluded from shun:ホストの IP アドレスを除外対象から外します。 複数のアドレスまたはサブネットは、カンマで区切って入力できます。 IP アドレス オブジェクトのリストからネットワークを選択するには、 ... ボタンをクリックします。
• Scanning Threat Statistics:セキュリティ アプライアンスによる広範な統計情報の収集をイネーブルにします。 脅威検出統計情報には、許可されたトラフィックとドロップされたトラフィックの両方のレートが表示されます。 デフォルトでは、アクセスリストの統計情報はイネーブルになっています。 脅威検出の統計情報を表示するには、「Firewall Dashboard タブ」を参照してください。
–Disable All Statistics:すべての統計情報をディセーブルにします。
–Enable All Statistics:すべての統計情報をイネーブルにします。
–Enable only following statistics:特定の統計情報をイネーブルにします。
Hosts:ホスト統計情報をイネーブルにします。 ホスト統計情報は、ホストがアクティブの間はずっとスキャン脅威ホスト データベースに蓄積されます。 ホストは、非アクティブな状態が 10 分間続くとデータベースから削除されます(統計情報はクリアされます)。
Access Rules:(デフォルトでイネーブル)アクセス ルール統計情報をイネーブルにします。
Port:TCP ポートと UDP ポートの統計情報をイネーブルにします。
Protocol:TCP/UDP 以外の IP プロトコルの統計情報をイネーブルにします。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
接続の設定
この項では、TCP と UDP の最大接続数、最大初期接続数、クライアントあたり最大接続数、接続タイムアウト、およびデッド接続検出を設定する方法と、TCP シーケンスのランダム化をディセーブルにする方法について説明します。 また、この項では、TCP 正規化を設定する方法についても説明します。TCP 正規化では、セキュリティ アプライアンスが異常パケットを検出したらドロップするように、異常パケットの特定基準を指定できます。
(注) 最大接続数、最大初期接続数、および TCP シーケンスのランダム化は、NAT コンフィギュレーションでも設定できます。同じトラフィックに対して両方の方法でこれらの設定値を設定した場合、セキュリティ アプライアンスは小さい方の制限値を使用します。TCP シーケンスのランダム化がいずれかの方法でディセーブルにされている場合、セキュリティ アプライアンスは TCP シーケンスのランダム化をディセーブルにします。
接続制限の概要
この項では、接続制限が必要な理由について説明します。次の項目を取り上げます。
TCP 代行受信の概要
初期接続の数を制限することで、DoS 攻撃(サービス拒絶攻撃)から保護されます。セキュリティ アプライアンスでは、クライアントあたりの制限と初期接続の制限を利用して TCP 代行受信を発生させます。代行受信によって、TCP SYN パケットを使用してインターフェイスをフラッディングする DoS 攻撃から内部システムを保護します。初期接続とは、送信元と宛先の間で必要になるハンドシェイクを完了していない接続要求のことです。 TCP 代行受信は、SYN クッキー アルゴリズムを使用して TCP SYN フラッディング攻撃を防止します。 SYN フラッディング攻撃は、通常は偽りの IP アドレスから発信される一連の SYN パケットによって行われます。 SYN パケットのフラッドが続くと、サーバの SYN キューが常にいっぱいの状態になり、接続要求を処理できなくなります。 接続が初期接続のしきい値を超えると、セキュリティ アプライアンスはサーバのプロキシとして機能し、クライアントの SYN 要求に対して SYN-ACK 応答を生成します。 セキュリティ アプライアンスは、クライアントから ACK を受信すると、クライアントを認証できるようになり、サーバへの接続を許可します。
クライアントレス SSL VPN の互換性を目的とした管理パケットの TCP 代行受信のディセーブル化
デフォルトで、TCP 管理接続では常に TCP 代行受信がイネーブルになっています。 TCP 代行受信は、イネーブルになると 3 ウェイ TCP 接続確立ハンドシェイク パケットを代行受信するため、セキュリティ アプライアンスはクライアントレス(ブラウザベースの)SSL VPN からのパケットを処理できなくなります。 クライアントレス SSL VPN では、3 ウェイ ハンドシェイク パケットを処理し、選択的な ACK とクライアントレス SSL VPN 接続への TCP オプションを提供できなければなりません。 管理トラフィックの TCP 代行受信をディセーブルにするために初期接続の制限を設定できます。設定すると、初期接続の制限に達した後にのみ TCP 代行受信がイネーブルになります。
デッド接続検出の概要
Dead connection detection(DCD; デッド接続検出)は、まだトラフィックを処理できる接続を期限切れにすることなく、デッド接続を検出して期限切れにできます。 DCD は、アイドル状態ではあっても有効な接続を存続させる場合に設定します。
DCD をイネーブルにすると、アイドル タイムアウト動作が変化します。 アイドル タイムアウトが発生すると、DCD プローブが両端のホストにそれぞれ送信され、接続が有効かどうかを判別します。 一方の端のホストが、プローブの送信後設定した時間を過ぎても応答しない場合、接続は解放され、リセット値が設定されていれば両端のホストに送信されます。 両端のホストから接続が有効であると応答があれば、アクティビティのタイムアウトは現在の時刻に更新され、それに応じてアイドル タイムアウトがスケジュールし直されます。
TCP シーケンスのランダム化の概要
各 TCP 接続には、2 つの Initial Sequence Number(ISN; 初期シーケンス番号)があります。1 つはクライアントが生成し、もう 1 つはサーバが生成します。 セキュリティ アプライアンスは、着信および発信の両方向で通過する TCP SYN の ISN をランダム化します。
保護されているホストの初期シーケンス番号をランダム化することにより、攻撃者が新しい接続に使用される次の ISN を予想してセッションを乗っ取ることができないようにします。
TCP の初期シーケンス番号のランダム化は必要に応じてディセーブルにできます。次の例を参考にしてください。
• 別のインライン ファイアウォールも初期シーケンス番号をランダム化している場合。両方のファイアウォールでランダム化を実行する必要はありません。ただし、ランダム化によってトラフィックに影響が出ることはありません。
• セキュリティ アプライアンスを経由する eBGP マルチホップを使用し、さらに eBGP ピアが MD5 を使用する場合。 ランダム化によって MD5 チェックサムが破損します。
• WAAS デバイスを使用する場合。WAAS デバイスでは、セキュリティ アプライアンスが接続のシーケンス番号をランダム化しないことが要求されます。
接続設定と TCP 正規化のイネーブル化
接続設定と TCP 正規化を設定するには、次の手順を実行します。
ステップ 1 Configuration > Firewall > Service Policy Rules ペインで、 第 23 章「サービス ポリシー ルールの設定」 に従ってサービス ポリシーを設定します。
新しいサービス ポリシー ルールの一部として接続制限を設定できます。または、既存のサービス ポリシーを編集することもできます。
ステップ 2 Rule Actions ダイアログボックスで、 Connection Settings タブをクリックします。
ステップ 3 最大接続数を設定するには、Maximum Connections 領域で次の値を設定します。
• TCP & UDP Connections :トラフィック クラスのすべてのクライアントで同時に接続される TCP および UDP 接続の最大数を 65,536 までの範囲で指定します。どちらのプロトコルともデフォルトは 0 で、接続可能な最大許容数に設定されています。
• Embryonic Connections :初期接続の最大数を 65,536 までの範囲で指定します。初期接続は、送信元と宛先の間で必要なハンドシェイクを終了していない接続要求です。この制限により、TCP 代行受信機能をイネーブルにします。デフォルトは 0 で、最大初期接続数であることを示します。TCP 代行受信により、TCP SYN パケットによってインターフェイスをフラッディングさせる DoS 攻撃から内部システムを保護します。初期接続の制限値を超えると、クライアントからセキュリティ レベルのより高いサーバへ送信される TCP SYN パケットが TCP 代行受信機能によって代行受信されます。SYN クッキーは、検証プロセス中に使用され、ドロップされる有効なトラフィックの量を最小限に抑えるのに役立ちます。したがって、到達不能なホストからの接続試行がサーバに到達することはありません。
• Per Client Connections:クライアントごとに、同時接続できる TCP 接続と UDP 接続の最大数を指定します。クライアントあたりの最大接続数の接続をすでに開いているクライアントが新しい接続を試みると、セキュリティ アプライアンスは、その接続を拒否してパケットをドロップします。
• Per Client Embryonic Connections:クライアントごとに、同時接続できる TCP 初期接続の最大数を指定します。クライアントあたりの最大初期接続数の接続をセキュリティ アプライアンスからすでに開いているクライアントが新しい TCP 接続を要求すると、セキュリティ アプライアンスは、その要求の処理を TCP 代行受信機能に代行させ、接続を阻止します。
ステップ 4 TCP タイムアウトを設定するには、TCP Timeout 領域で次の値を設定します。
• Connection Timeout :接続スロットを解放するまでのアイドル時間を指定します。接続のタイムアウトをディセーブルにするには、0:0:0 と入力します。期間は 5 分以上にする必要があります。デフォルトは 1 時間 です。
• Send reset to TCP endpoints before timeout :セキュリティ アプライアンスが、接続スロットを解放する前に接続のエンドポイントに TCP リセット メッセージを送信するように指定します。
• Embryonic Connection Timeout : 初期接続スロットが解放されるまでのアイドル時間を指定します。接続のタイムアウトをディセーブルにするには、0:0:0 と入力します。デフォルトは 30 秒 です。
• Half Closed Connection Timeout : ハーフ クローズ接続スロットが解放されるまでのアイドル時間を指定します。接続のタイムアウトをディセーブルにするには、0:0:0 と入力します。期間は 5 分以上にする必要があります。デフォルトは 10 分 です。
ステップ 5 シーケンス番号のランダム化をディセーブルにするには、 Randomize Sequence Number をオフにします。
TCP 初期シーケンス番号のランダム化をディセーブルにできるのは、別のインライン ファイアウォールも初期シーケンス番号をランダム化している場合です。これは、両方のファイアウォールでこの処理を実行する必要はないためです。 ただし、両方のファイアウォールで ISN のランダム化をイネーブルにしたままにしても、トラフィックへの影響はありません。
各 TCP 接続には、2 つの Initial Sequence Number(ISN; 初期シーケンス番号)があります。1 つはクライアントが生成し、もう 1 つはサーバが生成します。 セキュリティ アプライアンスは、発信方向に通過する TCP SYN の ISN をランダム化します。 セキュリティ レベルが同じ 2 つのインターフェイス間の接続であれば、両方向の SYN の ISN がランダム化されます。
保護されているホストの初期シーケンス番号をランダム化することにより、攻撃者が新しい接続に使用される次の ISN を予想してセッションを乗っ取ることができないようにします。
ステップ 6 TCP 正規化を設定するには、 Use TCP Map をオンにします。
ドロップダウン リストから既存の TCP マップを選択するか(選択可能な場合)、 New をクリックして新しい TCP マップを追加します。
a. TCP Map Name フィールドで、名前を入力します。
b. Queue Limit フィールドで、異常なパケットの最大数を 0 ~ 250 の範囲で指定します。
c. Reserved Bits 領域で、 Clear and allow 、 Allow only 、または Drop をクリックします。
Allow only を指定すると、TCP ヘッダーに予約ビットのあるパケットのみが許可されます。
Clear and allow を指定すると、TCP ヘッダーの予約ビットをクリアしてパケットを許可します。
Drop を指定すると、TCP ヘッダーに予約ビットのあるパケットをドロップします。
• Clear Urgent Flag:セキュリティ アプライアンスを通過する URG ポインタを許可またはクリアします。
• Drop Connection on Window Variation:予想外のウィンドウ サイズの変更が発生した接続をドロップします。
• Drop Packets that Exceed Maximum Segment Size:ピアで設定した MSS を超過したパケットを許可またはドロップします。
• Check if transmitted data is the same as original:再送信データ チェックをイネーブルまたはディセーブルにします。
• Drop SYN Packets With Data:データのある SYN パケットを許可またはドロップします。
• Enable TTL Evasion Protection:セキュリティ アプライアンスの TTL 回避保護をイネーブルまたはディセーブルにします。
• Verify TCP Checksum:チェックサム検証をイネーブルまたはディセーブルにします。
e. TCP オプションを設定するには、次のいずれかのオプションをオンにします。
• Clear Selective Ack:selective-ack TCP オプションを許可するかクリアするかを示します。
• Clear TCP Timestamp:TCP タイムスタンプ オプションを許可するかクリアするかを示します。
• Clear Window Scale:ウィンドウ スケール タイムスタンプ オプションを許可するかクリアするかを示します。
• Range:有効な TCP オプションの範囲を示します。正しい範囲は 6 ~ 7 と 9 ~ 255 です。下限境界値は上限境界値以下でなければなりません。
ステップ 7 存続可能時間を設定するには、 Decrement time to live for a connection をオンにします。
ステップ 8 OK または Finish をクリックします。
IP 監査の設定
IP 監査機能は、基本的な IPS 機能を提供します。サポートされるプラットフォームで高度な IPS 機能を実現する場合には、AIP SSM をインストールできます。
この機能により、名前付き監査ポリシーを作成し、パケットが事前定義済みの攻撃シグニチャまたは情報シグニチャと一致する場合に実行するアクションを特定できます。シグニチャとは、既知の攻撃パターンに一致するアクティビティです。たとえば、DoS 攻撃に一致するシグニチャがあるとします。セキュリティ アプライアンスは、パケットをドロップ、アラームを生成、または接続をリセットするように設定できます。
IP Audit Policy
IP Audit Policy パネルでは、監査ポリシーを追加し、そのポリシーをインターフェイスに割り当てることができます。攻撃ポリシーと情報ポリシーは、各インターフェイスに割り当てることができます。攻撃ポリシーにより、パケットが攻撃シグニチャに一致するときに実行するアクションが決まります。そのパケットは、DoS 攻撃など、ネットワークでの攻撃の一部である可能性があります。情報ポリシーにより、パケットが情報シグニチャに一致するときに実行するアクションが決まります。そのパケットは、現時点ではネットワークを攻撃していなくても、ポート スイープなどの情報収集アクティビティの一部になる可能性があります。すべてのシグニチャのリストについては、「IP 監査シグニチャ リスト」を参照してください。
• Name:定義済み IP 監査ポリシーの名前を示します。このテーブルには名前付きポリシーのデフォルト アクションが一覧表示されていますが(「--Default Action--」)、インターフェイスに割り当てることができる名前付きポリシーではありません。デフォルト アクションは、ポリシーでアクションを設定しない場合に、名前付きポリシーによって使用されます。デフォルト アクションを変更するには、そのアクションを選択して Edit ボタンをクリックします。
• Type:ポリシー タイプ(Attack または Info)を示します。
• Action:ポリシーに一致するパケットに対して実行されるアクション(Alarm、Drop、または Reset)を示します。複数のアクションが一覧表示されることもあります。
• Edit:IP 監査ポリシーまたはデフォルト アクションを編集します。
• Delete:IP 監査ポリシーを削除します。デフォルト アクションは削除できません。
• Policy-to-Interface Mappings:攻撃および情報ポリシーを各インターフェイスに割り当てます。
–Attack Policy:使用できる攻撃監査ポリシー名を一覧表示します。リストにある名前をクリックして、ポリシーをインターフェイスに割り当てます。
–Info Policy:使用できる情報監査ポリシー名を一覧表示します。リストにある名前をクリックして、ポリシーをインターフェイスに割り当てます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit IP Audit Policy Configuration
Add/Edit IP Audit Policy Configuration ダイアログボックスでは、インターフェイスに割り当てられる名前付き IP 監査ポリシーを追加または編集し、シグニチャ タイプごとにデフォルト アクションを変更できます。
• Policy Name:IP 監査ポリシー名を設定します。ポリシー名は、追加した後で変更することはできません。
• Policy Type:ポリシー タイプを設定します。ポリシー タイプは、追加した後で変更することはできません。
–Information:ポリシー タイプを情報として設定します。
• Action:パケットがシグニチャに一致するときに実行するアクションを 1 つ以上設定します。アクションを選択しない場合には、デフォルト ポリシーが使用されます。
–Alarm:パケットがシグニチャに一致したことを示すシステム メッセージを生成します。すべてのシグニチャのリストについては、「IP 監査シグニチャ リスト」を参照してください。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
IP Audit Signatures
IP Audit Signatures ペインでは、監査シグニチャをディセーブルにすることができます。正規のトラフィックが 1 つのシグニチャに連続して一致する場合には、そのシグニチャをディセーブルにすることができます。また、アラーム数が膨大な数になるのを防ぐために、シグニチャのディセーブル化というリスクをとることもできます。
すべてのシグニチャのリストについては、「IP 監査シグニチャ リスト」を参照してください。
• Enabled:イネーブルになっているシグニチャを一覧表示します。
• Disabled:ディセーブルになっているシグニチャを一覧表示します。
• Disable:選択したシグニチャを Disabled ペインに移動します。
• Enable:選択したシグニチャを Enabled ペインに移動します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
IP 監査シグニチャ リスト
表27-3 に、サポートされるシグニチャとシステム メッセージ番号を一覧表示します。
フラグメント サイズの設定
デフォルトで、セキュリティ アプライアンスは、IP パケットあたり最大 24 のフラグメントと、最大 200 のリアセンブリ待ちフラグメントを許可します。 NFS over UDP など、定常的にフラグメント化を行うアプリケーションを使用する場合は、ネットワーク上でのフラグメントを許容しなければならないこともあります。 ただし、トラフィックをフラグメント化するアプリケーションを使用しない場合は、セキュリティ アプライアンスをフラグメントが通過するのを許可しないことをお勧めします。 フラグメント化されたパケットはよく DoS 攻撃として使用されます。
–Interface:セキュリティ アプライアンスの使用可能なインターフェイスを一覧表示します。
–Size:リアセンブリを待機する IP リアセンブリ データベースに格納可能なパケットの最大数を設定します。デフォルトは 200 です。
–Chain Length:1 つの完全な IP パケットにフラグメント化できる最大パケット数を指定します。デフォルトは 24 パケットです。
–Timeout:フラグメント化されたパケット全体の到着を待機する最大秒数を指定します。タイマーは、パケットの最初のフラグメントが到着したときに始動します。パケットのすべてのフラグメントが指定した秒数内に到着しないと、すでに受信しているパケットのフラグメントはすべて破棄されます。デフォルトは、5 秒です。
• Edit:Edit Fragment ダイアログボックスを開きます。
• Show Fragment:パネルが開き、セキュリティ アプライアンスのインターフェイスごとに現在の IP フラグメント データベースの統計情報が表示されます。
インターフェイスの IP フラグメント データベースのパラメータを変更するには、次の手順を実行します。
ステップ 1 Fragment テーブルで変更するインターフェイスを選択し、 Edit をクリックします。Edit Fragment ダイアログボックスが表示されます。
ステップ 2 Edit Fragment ダイアログボックスで、Size、Chain、および Timeout の値を必要に応じて変更し、 OK をクリックします。間違った場合は、 Restore Defaults をクリックします。
ステップ 3 Fragment パネルの Apply をクリックします。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Show Fragment
Show Fragment パネルには、IP フラグメント リアセンブリ モジュールの動作データが表示されます。
• Size: 表示のみ 。リアセンブリを待機する IP リアセンブリ データベース内のパケット数を表示します。デフォルトは 200 です。
• Chain: 表示のみ 。1 つの完全な IP パケットにフラグメント化できる最大パケット数を表示します。デフォルトは 24 パケットです。
• Timeout: 表示のみ 。フラグメント化されたパケットの全体の到着を待機する最大秒数を表示します。タイマーは、パケットの最初のフラグメントが到着したときに始動します。パケットのすべてのフラグメントが表示の秒数内に到着しないと、すでに受信しているパケットのフラグメントはすべて破棄されます。デフォルトは、5 秒です。
• Threshold: 表示のみ 。IP パケットのしきい値、つまりその値を超えるとリアセンブリ モジュールで新しいチェーンを作成できなくなる限界を表示します。
• Queue: 表示のみ 。キュー内でリアセンブリを待機している IP パケットの数を表示します。
• Assembled: 表示のみ 。正常にリアセンブリされた IP パケットの数を表示します。
• Fail: 表示のみ 。リアセンブリの失敗試行回数を表示します。
• Overflow: 表示のみ 。オーバーフロー キュー内の IP パケットの数を表示します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Edit Fragment
Edit Fragment ダイアログボックスでは、選択したインターフェイスの IP フラグメント データベースを設定できます。
• Interface:Fragment パネルで選択したインターフェイスを表示します。Edit Fragment ダイアログボックスでの変更内容は、表示されたインターフェイスに適用されます。
• Size:リアセンブリを待機する IP リアセンブリ データベースに格納可能なパケットの最大数を設定します。
• Chain Length:1 つの完全な IP パケットにフラグメント化できる最大パケット数を設定します。
• Timeout:フラグメント化されたパケット全体の到着を待機する最大秒数を設定します。タイマーは、パケットの最初のフラグメントが到着したときに始動します。パケットのすべてのフラグメントが指定した秒数内に到着しないと、すでに受信しているパケットのフラグメントはすべて破棄されます。
• Restore Defaults:工場出荷時のデフォルト設定に戻します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Anti-Spoofing の設定
Anti-Spoofing ウィンドウでは、インターフェイスで Unicast Reverse Path Forwarding(Unicast RPF; ユニキャスト逆経路転送)をイネーブルにすることができます。Unicast RPF は、ルーティング テーブルに従い、すべてのパケットが正しい発信元インターフェイスと一致する送信元 IP アドレスを持っていることを確認して、IP スプーフィング(パケットが不正な送信元 IP アドレスを使用し、実際の送信元を隠蔽すること)から保護します。
通常、セキュリティ アプライアンスは、パケットの転送先を判定するときに、宛先アドレスだけを調べます。Unicast RPF は、送信元アドレスも調べるようにセキュリティ アプライアンスに指示します。そのため、逆経路転送(Reverse Path Forwarding)と呼ばれます。セキュリティ アプライアンスの通過を許可するすべてのトラフィックについて、送信元アドレスに戻るルートをセキュリティ アプライアンスのルーティング テーブルに含める必要があります。詳細については、RFC 2267 を参照してください。
たとえば、外部トラフィックの場合、セキュリティ アプライアンスはデフォルト ルートを使用して Unicast RPF 保護を満たすことができます。トラフィックが外部インターフェイスから入り、送信元アドレスがルーティング テーブルにない場合、セキュリティ アプライアンスはデフォルト ルートを使用して、外部インターフェイスを発信元インターフェイスとして正しく識別します。
ルーティング テーブルにあるアドレスから外部インターフェイスにトラフィックが入り、このアドレスが内部インターフェイスに関連付けられている場合、セキュリティ アプライアンスはパケットをドロップします。同様に、未知の送信元アドレスから内部インターフェイスにトラフィックが入った場合は、一致するルート(デフォルト ルート)が外部インターフェイスを示しているため、セキュリティ アプライアンスはパケットをドロップします。
• ICMP パケットにはセッションがないため、個々のパケットはチェックされません。
• UDP と TCP にはセッションがあるため、最初のパケットは逆ルート ルックアップが必要です。セッション中に到着する後続のパケットは、セッションの一部として保持されている既存の状態を使用してチェックされます。最初のパケット以外のパケットは、最初のパケットと同じインターフェイスに到着したことを保証するためにチェックされます。
• Interface:インターフェイス名を一覧表示します。
• Anti-Spoofing Enabled:インターフェイスで Unicast RPF がイネーブルになっているかどうかを、Yes または No で示します。
• Enable:選択したインターフェイスに対する Unicast RPF をイネーブルにします。
• Enable:選択したインターフェイスに対する Unicast RPF をディセーブルにします。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
TCP Options の設定
TCP Options ペインでは、TCP 接続のパラメータを設定できます。
• Inbound and Outbound Reset:着信および発信トラフィックの拒否された TCP 接続をリセットするかどうかを設定します。
–Inbound Reset:着信 TCP トラフィックのインターフェイスのリセット設定を、Yes または No で示します。この設定をイネーブルにすると、セキュリティ アプライアンスは、セキュリティ アプライアンスの通過を試み、アクセスリストまたは AAA の設定に基づいてセキュリティ アプライアンスにより拒否されたすべての着信 TCP セッションについて TCP リセットを送信します。同じセキュリティ レベルのインターフェイス間のトラフィックも影響を受けます。このオプションをイネーブルにしない場合は、拒否されたパケットがセキュリティ アプライアンスによって自動的に破棄されます。
–Outbound Reset:発信 TCP トラフィックのインターフェイスのリセット設定を、Yes または No で示します。この設定をイネーブルにすると、 セキュリティ アプライアンスは、セキュリティ アプライアンスの通過を試み、アクセスリストまたは AAA の設定に基づいてセキュリティ アプライアンスにより拒否されたすべての発信 TCP セッションについて TCP リセットを送信します。同じセキュリティ レベルのインターフェイス間のトラフィックも影響を受けます。このオプションをイネーブルにしない場合は、拒否されたパケットがセキュリティ アプライアンスによって自動的に破棄されます。
–Edit:インターフェイスの着信および発信のリセット設定値を設定します。
• Other Options:追加の TCP オプションを設定します。
–Send Reset Reply for Denied Outside TCP Packets:セキュリティ レベルが最も低いインターフェイスで終了し、またアクセスリストまたは AAA の設定に基づいてセキュリティ アプライアンスにより拒否された TCP パケットのリセットをイネーブルにします 。このオプションをイネーブルにしない場合は、拒否されたパケットがセキュリティ アプライアンスによって自動的に破棄されます。セキュリティ レベルが最も低いインターフェイスの Inbound Resets をイネーブルにする場合(「TCP Reset Settings」を参照)は、この設定もイネーブルにする必要はありません。Inbound Resets は、セキュリティ アプライアンスへのトラフィックとともに、セキュリティ アプライアンスを通過するトラフィックも処理します。
–Force Maximum Segment Size for TCP:最大 TCP セグメント サイズを 48 から最大数の範囲のバイト数で設定します。デフォルト値は 1380 バイトです。この機能は、0 バイトに設定することによってディセーブルにすることができます。ホストとサーバの両方は、接続を最初に確立するときに最大セグメント サイズを設定できます。どちらかの最大値がここで設定する値を超えると、セキュリティ アプライアンスはその最大値を無効化し、ユーザが設定した値を挿入します。たとえば、ユーザが最大サイズを 1200 バイトに設定した場合に、ホストが最大サイズとして 1300 バイトを要求すると、セキュリティ アプライアンスは 1200 バイトを要求するようにパケットを変更します。
–Force Minimum Segment Size for TCP : 48 から最大数の間で、ユーザが設定したバイト数未満にならないように最大セグメント サイズを上書きします。この機能はデフォルトでディセーブルになっています(0 に設定)。ホストとサーバの両方は、最初に接続を確立するときに最大セグメント サイズを設定できます。いずれかの最大値が Force Minimum Segment Size for TCP Proxy フィールドで設定した値未満になる場合、セキュリティ アプライアンスはその最大値を無効化し、ユーザが設定した「最小」値を挿入します(最小値は、実際には許容される最大値の中での最小の値です)。たとえば、ユーザが最小サイズを 400 バイトに設定した場合に、ホストが最大値として 300 バイトを要求すると、セキュリティ アプライアンスは 400 バイトを要求するようにパケットを変更します。
–Force TCP Connection to Linger in TIME_WAIT State for at Least 15 Seconds : 最後の標準 TCP クローズダウン シーケンスの後、最低でも 15 秒間、各 TCP 接続が短縮 TIME_WAIT 状態に保持するように強制します。この機能は、エンド ホスト アプリケーションのデフォルト TCP 終了シーケンスが同時クローズの場合に使用できます。セキュリティ アプライアンスのデフォルト動作では、シャットダウン シーケンスが追跡され、2 つの FIN、および最後の FIN セグメントの ACK の後に接続が解放されます。この即時解放ヒューリスティックにより、セキュリティ アプライアンスは、標準クローズ シーケンスと呼ばれる最も一般的なクロージング シーケンスに基づいて高い接続率を維持することができます。ただし同時クローズでは、トランザクションの両エンドがクロージング シーケンスを開始します。これは、一方のエンドがクローズすると、もう一方のエンドは確認応答してからそれ自体のクロージング シーケンスを開始する、標準クローズ シーケンス(RFC 793 を参照)の場合とは対照的です。したがって、同時クローズでは、接続の一方の側が即時解放によって強制的に CLOSING 状態に保持されます。CLOSING 状態になっているソケットが数多く存在すると、エンド ホストのパフォーマンスが低下する可能性があります。たとえば、一部の WinSock メインフレーム クライアントは、このような動作が生じてメインフレーム サーバのパフォーマンスを低下させることで知られています。この機能を使用すると、同時クローズダウン シーケンスを完了するためのウィンドウが作成されます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
TCP Reset Settings
このダイアログボックスでは、インターフェイスの着信および発信のリセット設定値を設定します。
• Send Reset Reply for Denied Inbound TCP Packets:セキュリティ アプライアンスの通過を試み、アクセスリストまたは AAA の設定に基づいてセキュリティ アプライアンスにより拒否されたすべての着信 TCP セッションについて TCP リセットを送信します。同じセキュリティ レベルのインターフェイス間のトラフィックも影響を受けます。このオプションをイネーブルにしない場合は、拒否されたパケットがセキュリティ アプライアンスによって自動的に破棄されます。
ID 要求(IDENT)接続をリセットする必要がある場合には、着信トラフィックのリセットを明示的に送信できます。拒否されたホストに TCP RST(TCP ヘッダーのリセット フラグ)を送信すると、RST が着信 IDENT プロセスを停止するため、IDENT がタイムアウトになるのを待つ必要がなくなります。IDENT のタイムアウトを待機すると、外部ホストは IDNET がタイムアウトになるまで SYN の再送信を続けるため、トラフィックの速度が低下する可能性があります。そのため、 service resetinbound コマンドによってパフォーマンスが改善される場合があります。
• Send Reset Reply for Denied Outbound TCP Packets:セキュリティ アプライアンスの通過を試み、アクセスリストまたは AAA の設定に基づいてセキュリティ アプライアンスにより拒否されたすべての発信 TCP セッションについて TCP リセットを送信します。同じセキュリティ レベルのインターフェイス間のトラフィックも影響を受けます。このオプションをイネーブルにしない場合は、拒否されたパケットがセキュリティ アプライアンスによって自動的に破棄されます。このオプションはデフォルトでイネーブルになっています。たとえば、発信リセットをディセーブルにして、トラフィック ストーム中の CPU の負荷を軽減させることができます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
グローバル タイムアウトの設定
Timeouts ペインでは、セキュリティ アプライアンスで使用するタイムアウトの期間を設定できます。すべての期間は、hh:mm:ss の形式で表示されます。さまざまなプロトコルの接続スロットと変換スロットのアイドル時間を設定します。指定したアイドル時間中にスロットが使用されなかった場合は、リソースがフリー プールに戻されます。TCP 接続スロットは、標準接続クローズ シーケンスのおよそ 60 秒後に解放されます。
(注) カスタマー サポートによる指示がない限り、これらの値を変更しないことをお勧めします。
Authentication absolute と Authentication inactivity を除くすべての場合において、チェックボックスをオフにすることはタイムアウト値を指定しないことを意味します。これら 2 つの場合にチェックボックスをオフにすることは、新しい接続ごとに再認証することを意味します。
• Connection:接続スロットが解放されるまでのアイドル時間を変更します。接続のタイムアウトをディセーブルにするには、0:0:0 と入力します。期間は 5 分以上にする必要があります。デフォルトは 1 時間です。
• Half-closed:TCP ハーフクローズ接続がクローズするまでのアイドル時間を変更します。最小値は 5 分です。デフォルトは 10 分です。ハーフクローズ接続のタイムアウトをディセーブルにするには、0:0:0 と入力します。
• UDP:UDP プロトコル接続がクローズするまでのアイドル時間を変更します。この期間は 1 分以上にする必要があります。デフォルトは 2 分です。タイムアウトをディセーブルにするには、0:0:0 と入力します。
• ICMP:全般的な ICMP 状態がクローズするまでのアイドル時間を変更します。
• H.323:H.323 メディア接続がクローズするまでのアイドル時間を変更します。デフォルトは 5 分です。タイムアウトをディセーブルにするには、0:0:0 と入力します。
• H.225:H.225 シグナリング接続がクローズするまでのアイドル時間を変更します。H.225 のデフォルト タイムアウトは 1 時間(01:00:00)です。値を 00:00:00 にすると、この接続はクローズされません。すべての呼び出しがクリアされた後にこの接続をすぐにクローズするには、値を 1 秒(00:00:01)にすることをお勧めします。
• MGCP:MGCP メディア ポートがクローズするまでのアイドル時間を表す MGCP のタイムアウト値を変更します。MGCP のデフォルト タイムアウトは 5 分(00:05:00)です。タイムアウトをディセーブルにするには、0:0:0 と入力します。
• MGCP PAT:MGCP PAT 変換が削除されるまでのアイドル時間を変更します。デフォルトは 5 分(00:05:00)です。最小時間は 30 秒です。デフォルト値に戻すには、チェックボックスをオフにします。
• SUNRPC:SunRPC スロットが解放されるまでのアイドル時間を変更します。この期間は 1 分以上にする必要があります。デフォルトは 10 分です。タイムアウトをディセーブルにするには、0:0:0 と入力します。
• SIP:SIP シグナリング ポート接続がクローズするまでのアイドル時間を変更します。期間は 5 分以上にする必要があります。デフォルトは 30 分です。
• SIP Media:SIP メディア ポート接続がクローズするまでのアイドル時間を変更します。この期間は 1 分以上にする必要があります。デフォルトは 2 分です。
• SIP Invite:PROVISIONAL 応答とメディア xlate のピンホールがクローズされるまでのアイドル時間を変更します。最小値は 0:1:0 で、最大値は 0:30:0 です。デフォルト値は 0:03:00 です。
• SIP Disconnect:CANCEL または BYE メッセージで 200 個の OK を受信しない場合に、SIP セッションを削除するまでのアイドル時間を変更します。最小値は 0:0:1 で、最大値は 0:10:0 です。デフォルト値は 0:02:00 です。
• Authentication absolute:認証キャッシュがタイムアウトになり、新しい接続を再認証する必要が生じるまでの期間を変更します。この期間は、Translation Slot の値より短くする必要があります。システムは、新しい接続を開始して再びプロンプトが表示されるまで待機します。新しい接続のすべてでキャッシングと再認証をディセーブルにするには、0:0:0 と入力します。
(注) 接続でパッシブ FTP を使用する場合は、この値を 0:0:0 に設定しないでください。
• Authentication inactivity:認証キャッシュがタイムアウトになり、ユーザが新しい接続を再認証する必要が生じるまでのアイドル時間を変更します。この期間は、Translation Slot の値より短くする必要があります。
• Translation Slot:変換スロットが解放されるまでのアイドル時間を変更します。この期間は 1 分以上にする必要があります。デフォルトは 3 時間です。タイムアウトをディセーブルにするには、0:0:0 と入力します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
フィードバック