不正アクセス検知機能(IDS)

概要

この文書では、RTX820、RTX1200及びRTX800の不正アクセス検知機能(IDS:Intrusion Detection System)について説明します。

下図は、不正アクセス検知機能の位置づけを示しています。

不正アクセス検知機能の位置づけ

不正アクセス検知機能が動作するのはパケットを受信した直後であり、NATの受信側の処理よりも前になります。

検知する攻撃の種類

この機能で検知できる攻撃を下表に示します。※印の攻撃は、破棄するか否かの設定に関係なく、必ず破棄します。

種別 名称 判定条件  
IPヘッダ Unknown IP protocol protocolフィールドが143以上のとき
Land attack 始点IPアドレスと終点IPアドレスが同じとき
Short IP header IPヘッダの長さがlengthフィールドの長さよりも短いとき
Malformed IP packet lengthフィールドと実際のパケットの長さが違うとき
IPオプションヘッダ Malformed IP opt オプションヘッダの構造が不正であるとき
Security IP opt Security and handling restriction headerを受信したとき
Loose routing IP opt Loose source routing headerを受信したとき
Record route IP opt Record route headerを受信したとき
Stream ID IP opt Stream identifier headerを受信したとき
Strict routing IP opt Strict source routing headerを受信したとき
Timestamp IP opt Internet timestamp headerを受信したとき
フラグメント Fragment storm 大量のフラグメントを受信したとき
Large fragment offset フラグメントのoffsetフィールドが大きいとき
Too many fragment フラグメントの分割数が多いとき
Teardrop teardropなどのツールによる攻撃を受けたとき
Same fragment offset フラグメントのoffsetフィールドの値が重複しているとき
Invalid fragment そのほかのリアセンブル不可能なフラグメントを受信したとき
ICMP ICMP source quench source quenchを受信したとき
ICMP timestamp req timestamp requestを受信したとき
ICMP timestamp reply timestamp replyを受信したとき
ICMP info request information requestを受信したとき
ICMP info reply information replyを受信したとき
ICMP mask request address mask requestを受信したとき
ICMP mask reply address mask replyを受信したとき
ICMP too large 1025バイト以上のICMPを受信したとき
UDP UDP short header UDPのlengthフィールドの値が8よりも小さいとき
UDP bomb UDPヘッダのlengthフィールドの値が大きすぎるとき
TCP TCP no bits set フラグに何もセットされていないとき
TCP SYN and FIN SYNとFINが同時にセットされているとき
TCP FIN and no ACK ACKのないFINを受信したとき
FTP FTP improper port PORTやPASVコマンドで指定されるポート番号が1024〜65535の範囲でないとき
Winny Winny version 2 Winny version 2のコネクションを発見したとき

設定

GUI

インターフェースごとに設定を変えることができますが、WANのインターフェースにのみ設定するのが典型的な使い方です。

検知するか否かは、上記の表の種別ごとに変えることができます。たとえば、IPヘッダの攻撃は検知し、IPオプションヘッダの攻撃は検知しないという設定が可能です。同様に、種別ごとに、攻撃を破棄するか通過させるかを設定できます。

実際の設定画面を下図に示します。

図:不正アクセス検知機能の設定画面

コマンド

不正アクセス検知機能の動作の設定

[書式]
ip INTERFACE intrusion detection DIRECTION [TYPE] SWITCH [OPTION]
ip pp intrusion detection DIRECTION [TYPE] SWITCH [OPTION]
ip tunnel intrusion detection DIRECTION [TYPE] SWITCH [OPTION]
no ip INTERFACE intrusion detection DIRECTION [TYPE] [ SWITCH [OPTION]]
no ip pp intrusion detection DIRECTION [TYPE] [SWITCH [OPTION]]
no ip tunnel intrusion detection DIRECTION [TYPE] [SWITCH [OPTION]]
[設定値]
  • INTERFACE ... LANインターフェース名
  • DIRECTION ... 観察するパケット・コネクションの方向
    • in ... 受信方向
    • out ... 送信方向
  • TYPE ... 観察するパケット・コネクションの種類
    • ip ... IPヘッダ
    • ip-option ... IPオプションヘッダ
    • fragment ... フラグメント
    • icmp ... ICMP
    • udp ... UDP
    • tcp ... TCP
    • ftp ... FTP
    • winny ... Winny
    • default ... 設定していないものすべて
  • SWITCH
    • on ... 検知する
    • off ... 検知しない
  • OPTION
    • reject=on ... 不正なパケットを破棄する
    • reject=off ... 不正なパケットを破棄しない
[説明]

指定したインターフェイスで、指定された向きのパケットやコネクションについて異常を検知する。
TYPEオプションを省略したときには、侵入検知機能の全体についての設定になる。

[ノート]

危険性の高い攻撃については、reject オプションの設定に関わらず、常にパケットを破棄する。

[初期値]
  • SWITCH:
    • TYPEを指定しないとき ... off
    • TYPEを指定したとき ... on
  • REJECT: off

不正アクセス情報の履歴の表示

不正アクセス検知機能の動作を見るためには、不正アクセス検知の状態を表示します。このページでは、過去に検知した不正アクセスの統計を見ることができます。実際の表示の例を下図に示します。

図:不正アクセス検知の状態画面
不正アクセス検知の状態画面

不正アクセスを検知した結果はinfoレベルのSYSLOGにも出力します。SYSLOGのフォーマットは次のようになっています。

[プレフィックス] 攻撃の名称 始点アドレス > 終点アドレス
2011/07/15 16:45:56: [POLICY] Unknown IP protocol 172.17.17.200 > 224.0.0.18
2011/07/15 16:46:57: [POLICY] Unknown IP protocol 172.17.17.200 > 224.0.0.18
2011/07/15 16:48:20: [POLICY] Unknown IP protocol 172.17.17.200 > 224.0.0.18

ページトップへ戻る