1
4

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 5 years have passed since last update.

【Paloalt】Zone ProtectionとDoS Protectionについて

Last updated at Posted at 2018-06-22

はじめに

Zone Protection機能とDos Protection機能がいまいち分かっていなかったので
整理してみた。

2018/6/22時点
software version8.1.1で検証

Zone Protection

  • フラッド攻撃の検知、緩和、防御
  • ポートスキャンの検知、防御
  • IPパケットベースの攻撃の防御

フラッド攻撃に関して、Aggregateのみとなる。
Aggregateは全パケット(IPアドレス)が閾値を超えたかどうか判断する。
つまり、Aさんがフラッド攻撃を仕掛けると、Bさんまで影響する。

閾値

  • アラームレート アラートを発生する閾値
  • アクティベート アクションを実行する閾値
  • 最大値 閾値を超えるとパケットドロップ

アクション

  • Random Early Drop ランダムなパケットをドロップさせる
  • SYN Cookie シーケンス番号をチェック?(イマイチ分かってません)

UDPやICMPはRandom Early Drop

ログ

  • モニターの脅威の項目でアラートは確認可能(送信元、宛先IPアドレスは表示されない)
  • ゾーン設定のログ転送にプロファイルを指定しておけばログ転送可能

SYSLOG出力例

10.1.0.4 :  <10>Jun 22 11:18:16 palodemo1 1,2018/06/22 11:18:15,641677CECF2C2F6,THREAT,flood,2049,2018/06/22 11:18:15,0.0.0.0,0.0.0.0,0.0.0.0,0.0.0.0,,,,not-applicable,vsys1,Untrust,Untrust,,,test,2018/06/22 11:18:15,0,1,0,0,0,0,0x102000,icmp,random-drop,"",ICMP Flood(8503),any,critical,client-to-server,54,0x2000000000000000,0.0.0.0-0.255.255.255,0.0.0.0-0.255.255.255,0,,0,,,0,,,,,,,,0,0,0,0,0,,palodemo1,,,,,0,,0,,N/A,flood,AppThreat-0-0,0x0,0,4294967295,

Dos Protection

  • フラッド攻撃の検知、防御
  • ポリシーベースでルールに適用する

プロファイル

  • タイプはClassifiedとAggregateを選択可能
  • 基本的にZone Protectionの内容と同じだがブロック期間が存在する
  • ブロック期間(default 300秒 MAX 21600(36時間))

Classifiedは、個々の送信元IPアドレスに対して閾値を設定する
つまり、送信元Aが閾値を超えたとしても、送信元Bには影響しない

DoSポリシー

  • 書き方はセキュリティルールと同じ
  • アクションの拒否、許可は無視していい(セキュリティルールと同じ意味合い)
  • アクションで保護を選択すれば、プロファイルで定義された閾値が適用される

ログ

  • DoSポリシーのログ転送に設定しておけばログ転送可能
  • ログの表示は、Classifiedで追跡するタイプ(送信元IPアドレス、宛先IPアドレス両方)によって送信元IPアドレスだけの表示、宛先も含めた表示が可能

まとめ

Zone Protectionは、スキャン・IPベースの攻撃を防御
DoS Protectionでフラッド系の攻撃を防御するのがよさそう。


追記


2018年6月25日
SYN CookieはMD5などで計算された値をSYN/ACKに埋め込み応答を返す。
通常だとSYN/ACK送信時、接続待ち状態となりリソースを消費するが
SYN Cookieが有効だとリソースを使わない。ACKが返ってきたら
計算された値を元に接続をする。

プロキシ(リバース)の振舞いをしているならSYN Cookieは有効だけど
プロキシとして動くというのはどういう時だろう。SSL複合化を有効にしている時?

1
4
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
1
4

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?