はじめに
Zone Protection機能とDos Protection機能がいまいち分かっていなかったので
整理してみた。
2018/6/22時点
software version8.1.1で検証
Zone Protection
- フラッド攻撃の検知、緩和、防御
- ポートスキャンの検知、防御
- IPパケットベースの攻撃の防御
フラッド攻撃に関して、Aggregateのみとなる。
Aggregateは全パケット(IPアドレス)が閾値を超えたかどうか判断する。
つまり、Aさんがフラッド攻撃を仕掛けると、Bさんまで影響する。
閾値
- アラームレート アラートを発生する閾値
- アクティベート アクションを実行する閾値
- 最大値 閾値を超えるとパケットドロップ
アクション
- Random Early Drop ランダムなパケットをドロップさせる
- SYN Cookie シーケンス番号をチェック?(イマイチ分かってません)
UDPやICMPはRandom Early Drop
ログ
- モニターの脅威の項目でアラートは確認可能(送信元、宛先IPアドレスは表示されない)
- ゾーン設定のログ転送にプロファイルを指定しておけばログ転送可能
SYSLOG出力例
10.1.0.4 : <10>Jun 22 11:18:16 palodemo1 1,2018/06/22 11:18:15,641677CECF2C2F6,THREAT,flood,2049,2018/06/22 11:18:15,0.0.0.0,0.0.0.0,0.0.0.0,0.0.0.0,,,,not-applicable,vsys1,Untrust,Untrust,,,test,2018/06/22 11:18:15,0,1,0,0,0,0,0x102000,icmp,random-drop,"",ICMP Flood(8503),any,critical,client-to-server,54,0x2000000000000000,0.0.0.0-0.255.255.255,0.0.0.0-0.255.255.255,0,,0,,,0,,,,,,,,0,0,0,0,0,,palodemo1,,,,,0,,0,,N/A,flood,AppThreat-0-0,0x0,0,4294967295,
Dos Protection
- フラッド攻撃の検知、防御
- ポリシーベースでルールに適用する
プロファイル
- タイプはClassifiedとAggregateを選択可能
- 基本的にZone Protectionの内容と同じだがブロック期間が存在する
- ブロック期間(default 300秒 MAX 21600(36時間))
Classifiedは、個々の送信元IPアドレスに対して閾値を設定する
つまり、送信元Aが閾値を超えたとしても、送信元Bには影響しない
DoSポリシー
- 書き方はセキュリティルールと同じ
- アクションの拒否、許可は無視していい(セキュリティルールと同じ意味合い)
- アクションで保護を選択すれば、プロファイルで定義された閾値が適用される
ログ
- DoSポリシーのログ転送に設定しておけばログ転送可能
- ログの表示は、Classifiedで追跡するタイプ(送信元IPアドレス、宛先IPアドレス両方)によって送信元IPアドレスだけの表示、宛先も含めた表示が可能
まとめ
Zone Protectionは、スキャン・IPベースの攻撃を防御
DoS Protectionでフラッド系の攻撃を防御するのがよさそう。
追記
2018年6月25日
SYN CookieはMD5などで計算された値をSYN/ACKに埋め込み応答を返す。
通常だとSYN/ACK送信時、接続待ち状態となりリソースを消費するが
SYN Cookieが有効だとリソースを使わない。ACKが返ってきたら
計算された値を元に接続をする。
プロキシ(リバース)の振舞いをしているならSYN Cookieは有効だけど
プロキシとして動くというのはどういう時だろう。SSL複合化を有効にしている時?