2018-02-06 07:29 PM 2019-03-22 07:35 AM 更新
ASA 5506-Xを利用しております。
LAN側からの脅威の検出とパケットドロップの方法、検出方法(統計確認方法)
について教えてください。
<機種>
ASA 5506-X Firepower
ASA Version 9.6(1),ADSM 7.6(1)
(この度 Juniper SSG-5より乗り換えを行いました)
<実現したいこと>
ICMP Flood、TCP SYN Floodについての攻撃の検知と、防御を行いたいです。
hping3コマンド等による flood攻撃を想定しております。
例
hping3 攻撃対象 IP address -i u1000 -c 10000 -p 443 -S (TCP SYN Flood)
hping3 攻撃対象 IP address -1 -i u1000 -c 10000 (ICMP Flood)
TCP SYN Flood 、ICMP Floodとも、閾値(毎秒 100回以上)などの場合は、
攻撃として検知し、パケットをドロップできればと考えております。
また、Syslog(ADSMの Home -> Device Dashboard -> ADSM syslog message)
でも攻撃の検出や、ドロップの状況が確認できれば考えております。
統計情報なども確認したいです。
参考文献や資料などの案内でも構いませんので、なにとぞよろしくお願いします。
2018-02-06 10:44 PM 2018-02-06 10:49 PM 更新
Yamachanさん、こんばんわ。
例えばTCP SYN Floodであれば、SYN Cookieの防御機能を使えば制御可能です。ASAはコネクションがどういう状態でどれくらい貼られているかをチェックできます。 例えば、以下マニュアルの「Embryonic Connections」を 100に設定すれば、同時に貼れる不完全なコネクション数を 全体で100までに設定できます。つまり、正しくSYN-ACKを交換しTCPをEstablishできてない(もしくはEstablishを試みている最中の) 指定TCPコネクションを 最大100までに制限するような設定になります。
なお、「Per Client Embryonic Connections」を利用すれば、送信元クライアント毎の 不完全なコネクションの最大数も設定可能です。
仮に閾値を超えた場合は、以下のようなログが出力されます。 詳しくはシスログメッセージガイドの 201010-201013あたりを確認ください。 なお、SYN Cookie関連の201010と201012は Informationalレベルのデフォルト出力になるため、ASDM Loggingや Internal BufferにInformationalでの出力を有効かすると 出力されるようになるはずです。ただ Informationalレベルは普通のコネクションログも出て 大量に出力され 流れやすいので、Flood検知/ブロック時の指定シスログメッセージIDの出力レベルは WarningやErrorなどに変更したほうがいいかもしれません。 そうすれば、ASDMやLogging Bufferのログ出力をWarningにしても出力されます。 ロギングのチューニング例はこちらのURLが参考になります。
%ASA-6-201010: Embryonic connection limit exceeded econns/limit for dir packet from
上記URLはASDMの場合の設定例ですが、CLIの場合の設定例や確認例は以下ドキュメントも参考になるかと思います。 ASDMからでも、ToolsからCLIは実行できます。
https://supportforums.cisco.com/t5/-/-/ta-p/3158482#toc-hId--1211332811
なお、上記設定のコネクション量制限が可能なのはTCPやUDPとなり、ICMPは残念ながらコネクション流量制限は対応してなかったと思います。(※ASAはICMP処理は特殊な処理・扱いだったはずです。。)
また、非信頼の外部からのICMPはブロックするのがセキュリティ上は推奨されます。これはICMPは内部IPを探るための手段に用いられることが多いためです。そのため、外部からのICMPはブロックするのも1つの手段かもしれません。
上記がご参考になれば幸いです。
2018-02-07 01:00 PM
ありがとうございます。さっそく試してみます!
エキスパートの回答、ステップバイステップガイド、最新のトピックなどお気に入りのアイデアを見つけたら、あとで参照できるように保存しましょう。
コミュニティは初めてですか?これらのヒントを活用してスタートしましょう。 コミュニティの活用方法 新メンバーガイド
下記より関連するコンテンツにアクセスできます