MAC-IP アンチスプーフ保護の設定

トピック:
インターフェース設定
アンチスプーフ キャッシュ
スプーフ検知リスト
IP ヘルパーへの拡張

インターフェース設定

Network Security Appliance 管理インターフェース内で MAC-IP アンチスプーフの設定項目を編集するには、「ネットワーク > MAC-IP アンチスプーフ」ページに進みます。

特定のインターフェースについて設定を行うには、そのインターフェースの設定アイコンを選択します。

選択したインターフェースについての「設定」ウィンドウが表示されます。このウィンドウで、対応するチェックボックスを選択することにより、次の設定項目を有効または無効にすることができます。このインターフェースについて設定の選択が終わったら、「OK」を選択します。使用できるオプションは次のとおりです。
有効:このインターフェースによるトラフィックに関して MAC-IP アンチスプーフ サブシステムを有効にします。
静的 ARP:静的 ARP 登録からアンチスプーフ キャッシュを構築できるようにします。
DHCP サーバ:SonicWALL DHCP サーバからのアクティブな DHCP リースからアンチスプーフ キャッシュを構築できるようにします。
DHCP リレー:IP ヘルパーに基づいて DHCP リレーからのアクティブな DHCP リースからアンチスプーフ キャッシュを構築できるようにします。IP ヘルパーへの変更については、IP ヘルパーへの拡張 を参照してください。
ARP ロック:MAC-IP アンチスプーフ キャッシュ内にリストされている機器について ARP 登録をロックします。これは MAC-IP アンチスプーフ設定を通じてインターフェースの送信制御に適用され、MAC-IP キャッシュ エントリが ARP キャッシュ内の永続的なエントリとして追加されます。これにより、ARP ポイズニング攻撃が規制されます。不正な ARP パケットによって ARP キャッシュが変更されないからです。
ARP 監視:インターフェース上の各 MAC-IP キャッシュ登録についてクライアントのマシンへの一方的な (要求に対応したものでない) ユニキャスト ARP 応答の生成を可能にします。このプロセスは man-in-the-middle 攻撃を防ぐのに役立ちます。
強制:インターフェースでの受信 (イングレス) 制御を可能にして、MAC-IP アンチスプーフ キャッシュにリストされていない機器からのトラフィックをブロックします。
スプーフ検知:アンチスプーフ キャッシュをパスできなかった機器をすべて記録し、それらの機器をスプーフ検知に記載します。
管理の許可:アンチスプーフ キャッシュに現在リストされていない機器からのものも含めて、装置の IP アドレスに宛てられたすべてのパケットの通過を許可します。

設定の調整を行った後は、MAC-IP アンチスプーフ パネル上でインターフェースのリストが更新されます。緑の円に白のチェック マークが入ったアイコンによって、どの設定が有効になっているのかがわかります。

* 
補足:MAC-IP アンチスプーフ リストから除外されているインターフェースは、非イーサネット インターフェース、ポートシールド メンバー インターフェース、レイヤ 2 ブリッジ ペア インターフェース、高可用性インターフェース、および高可用性データ インターフェースです。

アンチスプーフ キャッシュ

MAC-IP アンチスプーフ キャッシュには、MAC アドレスから IP アドレスへのすべてのバインドが登録されます。これには、ネットワークへのアクセスが許可されているすべての機器と、ネットワークから排除された (アクセスを拒否された) すべての機器を含めることができます。また、背後にネットワークを持つルータのように機能する機器も指定できます。

「静的 MAC-IP アンチスプーフを追加する」ダイアログが表示されます。

アンチスプーフ キャッシュに機器を追加するには、以下の手順を実行します。
1
「アンチスプーフ キャッシュ」テーブルの下部にある「追加」ボタンを選択します。「静的 MAC-IP アンチスプーフを追加する」ダイアログが表示されます。
2
インターフェース」ドロップダウン リストで、機器からのトラフィックが到着するインターフェースを選択します。
3
IP アドレス」フィールドに、機器の IP アドレスを入力します。
4
MAC アドレス」フィールドに、機器の MAC アドレスを入力します。
5
背後にネットワークがあるルータとして機器を指定するには、「ルータ」チェックボックスをオンにします。
6
この機器をブラックリストに登録し、機器からのトラフィックを遮断するには、「ブラックリストに登録された機器」チェックボックスをオンにします。

その機器をブラックリストに載せると、その機器からのパケットがブロックされます。

7
OK」を選択します。

静的なアンチスプーフ キャッシュ登録を編集する必要がある場合は、IP アドレスの左にあるチェックボックスを選択し、同じ行の「設定」列にある鉛筆アイコンを選択します。

1 つまたは複数の静的アンチスプーフ キャッシュ エントリを削除できます。それには、各登録の横の「削除」チェックボックスをオンにし、「削除」ボタンを選択します。

キャッシュの統計情報を消去するには、目的の機器を選択し、「統計のクリア」を選択します。

最新のキャッシュ情報を確認したい場合は、「再表示」ボタンを選択します。

* 
補足:MAC-IP アンチスプーフ機能を有効にしていても、次のタイプのパケットはこの機能をバイパスします。1) 非 IP パケット、2) 送信元 IP が 0 である DHCP パケット、3) VPN トンネルからのパケット、4) 送信元 IP が無効なユニキャスト IP であるパケット、5) アンチスプーフの設定で管理の状態が有効になっていないインターフェースからのパケット。

スプーフ検知リスト

スプーフ検知リストには、受信アンチスプーフ キャッシュ チェックをパスできなかった機器が表示されます。このリストのエントリは、静的アンチスプーフ エントリとして追加できます。それには、目的の機器の「追加」列にある編集アイコンを選択します。警告メッセージ ウィンドウが開き、この静的エントリを追加するかどうか確認を求められます。「OK」を選択すると、処理が続行され、「キャンセル」を選択すると、スプーフ検出リストに戻ります。

消去」ボタンを選択すると、リストから登録を消去することができます。「解決」ボタンを選択すると、NetBios を使用して各機器の名前を解決することができます。

テーブルの「フィルタ」機能を使用すると、個々の機器を識別することができます。

機器を識別するには、該当するフィールドに情報を入力して、機器の IP アドレス、インタフェース、MAC アドレス、または名前を指定します。その際、演算子に適切な構文を使用しなければなりません。

 

表 50. フィルタ演算子の構文オプション

演算子

構文オプション

タイプを持つ値
Ip=1.1.1.1 または ip=1.1.1.0/24
Mac=00:01:02:03:04:05
Iface=x1

文字列
X1
00:01
Tst-mc
1.1.

AND
Ip=1.1.1.1;iface=x1
Ip=1.1.1.0/24;iface=x1;just-string

OR
Ip=1.1.1.1,2.2.2.2,3.3.3.0/24
Iface=x1,x2,x3

否定
!ip=1.1.1.1;!just-string
!iface=x1,x2

混合
Ip=1.1.1.1,2.2.2.2;mac=00:01:02:03:04:05; just-string;!iface=x1,x2

IP ヘルパーへの拡張

IP ヘルパーの DHCP リレー サブシステムからのリースをサポートするために、IP ヘルパー パネル (「ネットワーク > IP ヘルパー」) で次の変更が行われています。
DHCP リレー ロジックの一部として、IP ヘルパーはクライアントと DHCP サーバとの間で交換されるリースを学習し、それらをフラッシュ メモリに保存します。
これらの学習されたリースは、IP ヘルパー状態同期メッセージの一部として、アイドル ファイアウォールに同期されます。

リースからの MAC アドレスと IP アドレスのバインドは、MAC-IP アンチスプーフ キャッシュに変換されます。