不正アクセス検知時のメール通知機能

概要

不正アクセス検知機能(IDS)によって不正アクセスを検知すると、設定したメールアドレスに対して検知した内容をメールで通知します。

注意事項

メール通知の基本的な動作は、バックアップ時のメール通知をご覧ください。

対応機種

機種 リビジョン GUI対応
RTX5000 Rev.14.00.15以降 ×
RTX820 Rev.11.03.16以降
RTX1200 Rev.10.01.20以降
RTX800 Rev.10.01.20以降

詳細

メール通知の対象について

不正アクセス検知時のメール通知を使用するためには、ip I/F intrusion detectionコマンドとmail notify trigger intrusionコマンドの設定が必要です。ip I/F intrusion detectionコマンドで設定した不正アクセス検知機能(IDS)により不正アクセスが検知され、検知した情報がmail notify trigger intrusionコマンドで指定した条件に合った場合に、メール通知が動作します。
mail notify trigger intrusionコマンドでは、不正アクセスの種類(ip I/F intrusion detectionコマンドのオプション ['ip'、'ip-option'、'fragment'、'icmp'、'udp'、'tcp'、'ftp', 'winny'])ごとに通知対象を分けることができません。検知した全ての不正アクセスが通知対象となります。
また、ip I/F intrusion detectionコマンドのrejectオプションは、メール通知の動作に影響は与えません。

コマンドで指定できるインターフェイスについて

mail notify trigger intrusionコマンドで指定できるインターフェースは、以下の表に基づきます。

PP/TUNNELインターフェイスのインターフェイス番号に'*'を指定すると、全てのLAN/PP/TUNNELインターフェイスに対して有効になります。
また、一つのコマンドに対して重複したインターフェイス+方向を指定することはできません。

RTX5000
インターフェース名 範囲
LAN lan1〜lan4+lan1.1〜lan1.4+lan2.1〜lan2.4+lanN/1〜lanN/32 + '*'
PP 1〜150+'*'
TUNNEL 1〜3000+'*'
* LAN、PP、TUNNELを含む全てのインターフェース
RTX1200
インターフェース名 範囲
LAN lan1〜lan3+lan1.1〜lan1.8+lanN/1〜lanN/32 + '*'
PP 1〜100+'*'
TUNNEL 1〜100+'*'
* LAN、PP、TUNNELを含む全てのインターフェース
RTX800
インターフェース名 範囲
LAN lan1〜lan2+lan1.1〜lan1.4+lanN/1〜lanN/8 + '*'
PP 1〜30+'*'
TUNNEL 1〜10+'*'
* LAN、PP、TUNNELを含む全てのインターフェース

トリガの検出について

最初のトリガを検出してから、mail templateコマンドのnotify-wait-timeオプションで指定した時間内に検出した不正アクセスについては、一通のメールにまとめて通知されます。
また、mail templateコマンドで設定した待機時間(notify-wait-timeオプション)内に、mail notify trigger intrusionコマンドで同じテンプレートIDを指定している他のトリガが発生した場合は、その期間内に検出した全てのトリガが同一のメールで通知されます。

不正アクセスが頻発する場合は、以下の手順で通知されるメールの数を抑制することができます。

  • mail templateコマンドで設定した待機時間(notify-wait-timeオプション)を長くする。(最大で86400秒=24時間)
  • ip I/F intrusion detection repeat-controlコマンドで、同じホストに対する同じ攻撃の種類を通知する期間を抑制する。

手動実行について

手動実行によって不正アクセス検知のメールを送信するコマンドには対応しません。

GUI

1. メール通知機能 メイン画面

メイン画面

メイン画面の「通知内容の設定」にセレクトメニューを追加し、"状態メール通知"の設定画面、および"不正アクセス検知"の設定画面を選択して移動できるようにします。

2. 不正アクセス検知時のメール通知機能 設定画面

設定画面

上図で設定するコマンドは以下。

  • mail notify ID TEMPLATE_ID trigger intrusion IF_I [IF_I_NUM] DIR_I [IF_I [IF_I_NUM] DIR_I [...]]
  • mail template TEMPLATE_ID SERVER_ID "From: ADDRESS" "To:ADDRESS" ["Subject: SUBJECT"] ["Date: DATE"] ["MIME-Version: VERSION"] ["Content-Type: CONTENT_TYPE"] [notify-log=SW] [notify-wait-time=SEC]

"通知内容"で表示される内容は、以下の動作に従います。

  • 現在有効になっているインターフェースのみを表示します。(ただし、VLAN、LAN分割はGUIでは未対応)
  • ip I/F intrusion detectionコマンドで指定されていないインターフェースは、非表示となります。
  • "全てのLAN"にチェックを入れると、LAN1, 2 ...のチェックボックスにチェックが入ります。チェックを外すと、LAN1, 2 ...のチェックボックスのチェックが外れます。PP、TUNNELの場合も同様です。

コマンド

設定例

不正アクセス検知、メールサーバー、メールテンプレートおよびトリガの設定を行います。
設定が完了した後、不正アクセス検知機能によって不正アクセスが検知されると同時にメールが通知されます。

ip lan1 intrusion detection in on
mail server name 1 (サーバー名)
mail server smtp 1 (SMTPサーバーのアドレス)
mail template 1 1 From:(送信元メールアドレス) To:(送信先メールアドレス) Subject:(サブジェクト名)
mail notify 1 1 trigger intrusion lan1 in


例)
Model: RTX1200
Revision: Rev.10.01.33
Name: yamaha-rtx1200-00a0de07fc07
Time: 2012/10/23 08:58:53
Template ID: 1

ID   時刻                インターフェイス    不正アクセス検知内容
------------------------------------------------------------------------------
0001 2012/10/23 08:58:53        LAN1 [ in] ICMP too large
                                           (192.168.100.2   -> 192.168.100.1  )

ページトップへ戻る