レイヤ 3 SYNフラッド防御の設定

SYN フラッド防御機能を設定するには、次の図に示した、「ファイアウォール設定 > フラッド防御」ウィンドウの「レイヤ 3 SYN フラッド防御 - SYN プロキシ」セクションを使用します。

「SYNフラッド防御モード」では、半オープン TCP セッションと高頻度 SYN パケット送信に対する防御に使用する防御レベルを選択できます。この機能により、以下の 3 レベルの SYNフラッド防御を設定することができます。
SYNフラッドの可能性を監視、報告する - このオプションを選択すると、機器の全インターフェースで SYN トラフィックを監視し、パケット数しきい値を超過した、SYNフラッドと疑われるアクティビティをログに記録します。機器の SYN プロキシは有効にならないため、TCP3 ウェイ ハンドシェークがそのまま転送されます。これは、最も低いレベルの SYNフラッド防御です。ネットワークがそれほど危険性の高い環境にない場合に、このオプションを選択します。
攻撃の疑いがある場合に、WAN クライアント接続をプロキシする - このオプションを選択すると、完了していない接続試行の回数 (毎秒) が指定されたしきい値を超過したときに、WAN インターフェースでの SYN プロキシ機能が有効になります。この方式では、攻撃中でも有効なトラフィックの処理を継続でき、パフォーマンスも低下しません。すべての WAN SYNフラッド攻撃が停止するまで、または SYN ブラックリスト機能を使用してすべての攻撃がブラックリストに登録されるまで、プロキシ モードは有効になります。これは、中間のレベルの SYNフラッド防御です。ネットワークが内部または外部からの SYNフラッド攻撃にさらされている場合に、このオプションを選択します。
常に WAN クライアント接続をプロキシする - このオプションを選択すると、装置で常に SYN プロキシを使用するように設定されます。この方式では、すべてのなりすまし SYN パケットが機器を通過できなくなります。これは極端なセキュリティ手段です。 SYN プロキシ機能を使用するとすべての TCP SYN 接続試行に応答する必要があるため、機器はすべての TCP ポートでポート スキャンに応答します。これにより、パフォーマンスが低下し、誤った警告が発生する場合があります。ネットワークが危険性の高い環境にある場合に限り、このオプションを選択してください。

SYN 攻撃しきい値の設定

SYN 攻撃しきい値」設定オプションでは、機器でパケットの破棄が開始される SYN フラッド アクティビティの下限を設定します。装置では WAN TCP 接続の統計情報を収集し、毎秒の最大 WAN 接続数、平均最大 WAN 接続数、および不完全な WAN 接続数を追跡します。これらの統計に基づいて、SYNフラッドしきい値の値が提案されます。このセクションには 2 つのオプションがあります。
集めた統計から計算された推奨値 300 - WAN TCP 接続統計をもとに提案される攻撃しきい値です。
攻撃しきい値 (1 秒あたりの不完全な接続試行回数) - 機器でパケットの破棄が開始される、不完全な接続の試行回数 (毎秒) のしきい値を 5~200,000 の任意の値に設定できます。

SYN プロキシ オプションの設定

SYN プロキシを TCP 接続に適用する場合、初回 SYN パケットに対して生成した SYN/ACK 応答で応答し、それに対する応答 ACK を待ち受けてから、接続要求をサーバに転送します。SYNフラッド パケットで攻撃している機器は、SYN/ACK 応答に応答しません。ファイアウォールでは、このタイプの応答がない機器を攻撃元として識別し、その機器によるなりすまし接続試行をブロックします。SYN プロキシでは、SYN/ACK パケットに対して通常指定される TCP オプションにサーバがどのように応答するかを認識していなくても、ファイアウォールが SYN/ACK 応答を生成します。

SYN プロキシ モードのとき、WAN クライアントに送信されるオプションをより詳細に制御するために、以下の 2 つのオブジェクトを設定できます。
SACK (Selective Acknowledgement) - このパラメータにより、Selective ACK を有効にするかどうかを制御します。SACK を有効にすると、パケットまたは一連のパケットを破棄することが可能になり、受信側から送信側に、どのデータが受信されたか、データ内のどこに欠陥があるかが通知されます。
MSS (Minimum Segment Size) - TCP セグメントのサイズのしきい値を設定することで、大きすぎてターゲット サーバに送信できないセグメントが発生することを防止します。例えば、サーバがIPsec ゲートウェイである場合、トラフィックをトンネリングするときに IPsec ヘッダーの領域を残すために、サーバで受信される MSS を制限する必要があることがあります。プロキシ シーケンスの際、ファイアウォールでは、サーバが SYN 生成済みパケットに応答するときにサーバに送信される MSS値を予測することはできません。セグメントのサイズを制御できるようにすることで、WAN クライアントに送信される生成済み MSS 値を制御することができます。

「SYN プロキシしきい値」領域には、以下のオプションがあります。
すべての LAN/DMZ サーバが、TCP SACK (選択的確認応答) オプションをサポートする - このチェックボックスをオンにすると、Selective ACK が有効になります。 これにより、パケットを破棄できるようになり、受信側機器でどのパケットを受信したかを送信側に通知できるようになります。WAN からアクセスされるファイアウォールによって保護されるすべてのサーバが、SACK オプションをサポートするとわかっている場合にのみ、このチェックボックスをオンにしてください。
WAN クライアントに送信する MSS を制限する (接続のプロキシ時) - 最大の MSS (Minimum Segment Size) 値を入力できます。既定値の 1460 をオーバーライドする値を指定した場合、SYN/ACK Cookie でそのサイズ以下のセグメントがクライアントに送信されることになります。この値を小さく設定しすぎると、SYN プロキシを常時有効にしたときにパフォーマンスが低下する可能性があります。この値を高く設定しすぎると、サーバが小さな MSS 値を使って応答したときに、接続が壊れる可能性があります。
WAN クライアントに送信する最大 TCP MSS。MSS の値です。既定では 1460 です。
* 
補足:プロキシ WAN クライアント接続を使用する際には、これらのオプションを少なめの値に設定するようにしてください。 これらの値は、SYNフラッドが発生したときにのみ接続に適用されるためです。これにより、攻撃中でも正規の接続が続行されます。
受信した SYN パケットを常にログに記録する。受信したすべての SYN パケットをログします。