ステートレス Cookie を使用した SYN フラッド防御

SonicOS から導入された SYN フラッド防御の手法では、ステートレス SYN Cookie を使用します。 これにより、SYN フラッドの検出の信頼性が向上するとともに、ファイアウォールにおける全体的なリソース利用が改善されました。ステートレス SYN Cookie を使用することで、半オープン接続の状態を維持する必要がなくなります。そして、SEQr をランダムに設定する代わりに、暗号化計算で算出します。

階層別の SYN フラッド防御手法

SonicOS では、信頼される (内部) ネットワークと信頼されない (外部) ネットワークという 2 つの異なる環境から実行される SYNフラッドに対して、複数の保護手段を用意しています。一般的に、信頼されないWAN ネットワークからの攻撃は、ファイアウォールにより保護された 1 つ以上のサーバで発生します。信頼されるLAN ネットワークからの攻撃は、1 つ以上の信頼されるネットワークの内部におけるウイルス感染が原因で発生し、1 つ以上のローカル ホストまたはリモート ホストに対して攻撃が実行されます。

どちらの攻撃シナリオに対してもファイアウォールで防御できるように、SonicOS 2 つの異なる階層に対応する 2 つの SYNフラッド防御メカニズムを備えています。どちらのメカニズムでも、SYNフラッドの統計情報を収集して表示し、重要な SYNフラッドイベントについてはログ メッセージを生成します。

• SYN プロキシ (レイヤ 3) － このメカニズムでは、WAN クライアントの接続要求を保護対象サーバに転送する前に SYN プロキシ実装を使用して WAN クライアントを検証することで、信頼されるネットワーク内のサーバを WAN ベース SYNフラッド攻撃から保護します。SYN プロキシは WANインターフェースに対してのみ有効にできます。

• SYN ブラックリスト (レイヤ2) － このメカニズムでは、特定の機器による SYNフラッド攻撃の生成や、SYNフラッド攻撃の転送を阻止します。SYN ブラックリストは、任意のインターフェースに対して有効にできます。

SYN ウォッチリストについて

どちらの SYNフラッド防御メカニズムも、内部的な手法は 1 つのイーサネット アドレス リストに基づいています。 これは初回 SYN パケットをファイアウォールに送信する最もアクティブな機器のイーサネット アドレスのリストです。このリストは、SYN ウォッチリストと呼ばれます。このリストにはイーサネット アドレスが含まれるため、SYN パケットを転送する機器のアドレスに基づいてすべての SYN トラフィックを追跡でき、送信元または送信先 IP アドレスを考慮する必要がありません。

ウォッチリストの各エントリには、ヒット カウントと呼ばれる値が含まれます。ある機器から初回 SYNパケットが受信されるたびに、その機器に対応するヒット カウントの値が 1 ずつ加算されます。TCP3ウェイ ハンドシェークが完了すると、ヒット カウントは 1 ずつ減算されます。特定の機器のヒット カウントは、その機器でヒット カウントがリセットされて以降に処理が保留されている半オープン接続の数に等しくなります。機器でヒット カウントがリセットされる頻度は、既定で 1 秒に 1 回です。

ログ メッセージの表示または状態の変更が必要であるかどうかを判断するときには、ログ、SYN プロキシ、SYN ブラックリストのすべてのしきい値がヒット カウント値と比較されます。SYNフラッド攻撃が発生すると、なりすまし接続が試行されるため、攻撃パケットを転送している機器からの保留中半オープン接続の数が急増します。攻撃しきい値を適切に設定していれば、通常のトラフィック フローではほとんど攻撃警告は発生せず、なおかつ攻撃によって深刻なネットワーク性能低下が生じる前に、攻撃を検出して防御することができます。

TCP ハンドシェークについて

一般的な TCP ハンドシェーク (簡略) は、開始側が 32 ビット シーケンス (SEQi) 番号を持つTCP SYN パケットを送信することで開始されます。その後、応答側が受信されたシーケンスを承認する SYN/ACK パケットを送信します。 SEQi+1 に等しい ACK と、ランダムな 32 ビット シーケンス番号 (SEQr) が送信されます。また、応答側は開始側からの ACK を待ち受ける状態を維持します。開始側からの ACK パケットには、次のシーケンス (SEQi+1) と、応答側から受信したシーケンスの承認 (SEQr+1 に等しい ACK を送信) が含まれます。この交換の例を以下に示します。

1. 開始側 －> SYN (SEQi=0001234567、ACKi=0) －> 応答側

2. 開始側 <－ SYN/ACK (SEQr=3987654321、ACKr=0001234568) <－ 応答側

3. 開始側 －> ACK (SEQi=0001234568、ACKi=3987654322) －> 応答側

応答側ではすべての半オープン TCP 接続の状態を維持する必要があるため、SYN が受信される速度が応答側で処理またはクリアできる速度を超えると、メモリが枯渇する可能性があります。半オープン TCP 接続では 3 ウェイ ハンドシェークが完了せず、接続が確立された状態に移行しません。ファイアウォールが開始側と応答側の間にある場合は、ファイアウォールが実質的な応答側となり、保護される実際の応答側 (プライベート ホスト) への TCP 接続のブローカ (プロキシ) として動作します。

レイヤ 3 SYNフラッド防御の設定

SYNフラッド防御機能を設定するには、次の図に示した、「ファイアウォール設定 > フラッド防御」ウィンドウの「レイヤ 3 SYNフラッド防御 － SYN プロキシ」セクションを使用します。

「SYNフラッド防御方式」では、半オープン TCP セッションと高頻度 SYN パケット送信に対する防御に使用する防御レベルを選択できます。この機能により、以下の 3 レベルの SYNフラッド防御を設定することができます。

• SYNフラッドの可能性を監視、報告する － このオプションを選択すると、機器の全インターフェースで SYN トラフィックを監視し、パケット数しきい値を超過した、SYNフラッドと疑われるアクティビティをログに記録します。機器の SYN プロキシは有効にならないため、TCP3 ウェイ ハンドシェークがそのまま転送されます。これは、最も低いレベルの SYNフラッド防御です。ネットワークがそれほど危険性の高い環境にない場合に、このオプションを選択します。

• 攻撃の疑いがある場合に、WAN クライアント接続をプロキシする － このオプションを選択すると、完了していない接続試行の回数 (毎秒) が指定されたしきい値を超過したときに、WAN インターフェースでの SYN プロキシ機能が有効になります。この方式では、攻撃中でも有効なトラフィックの処理を継続でき、パフォーマンスも低下しません。すべての WAN SYNフラッド攻撃が停止するまで、または SYN ブラックリスト機能を使用してすべての攻撃がブラックリストに登録されるまで、プロキシ モードは有効になります。これは、中間のレベルの SYNフラッド防御です。ネットワークが内部または外部からの SYNフラッド攻撃にさらされている場合に、このオプションを選択します。

• 常に WAN クライアント接続をプロキシする － このオプションを選択すると、装置で常に SYN プロキシを使用するように設定されます。この方式では、すべてのなりすまし SYN パケットが機器を通過できなくなります。これは極端なセキュリティ手段です。 SYN プロキシ機能を使用するとすべての TCP SYN 接続試行に応答する必要があるため、機器はすべての TCP ポートでポート スキャンに応答します。これにより、パフォーマンスが低下し、誤った警告が発生する場合があります。ネットワークが危険性の高い環境にある場合に限り、このオプションを選択してください。

SYN 攻撃しきい値の設定

「SYN 攻撃しきい値」設定オプションでは、機器でパケットの破棄が開始される SYNフラッド アクティビティの下限を設定します。装置では WAN TCP 接続の統計情報を収集し、毎秒の最大 WAN 接続数、平均最大 WAN 接続数、および不完全な WAN 接続数を追跡します。これらの統計に基づいて、SYNフラッドしきい値の値が提案されます。このセクションには 2 つのオプションがあります。

集めた統計から計算された推奨値 300 － WAN TCP 接続統計をもとに提案される攻撃しきい値です。

攻撃しきい値 (1 秒あたりの不完全な接続試行回数) － 機器でパケットの破棄が開始される、不完全な接続の試行回数 (毎秒) のしきい値を 5～999,999 の任意の値に設定できます。

SYN プロキシ オプションの設定

SYN プロキシを TCP 接続に適用する場合、初回 SYN パケットに対して生成した SYN/ACK 応答で応答し、それに対する応答 ACK を待ち受けてから、接続要求をサーバに転送します。SYNフラッド パケットで攻撃している機器は、SYN/ACK 応答に応答しません。ファイアウォールでは、このタイプの応答がない機器を攻撃元として識別し、その機器によるなりすまし接続試行をブロックします。SYN プロキシでは、SYN/ACK パケットに対して通常指定される TCP オプションにサーバがどのように応答するかを認識していなくても、ファイアウォールが SYN/ACK 応答を生成します。

SYN プロキシ モードのとき、WAN クライアントに送信されるオプションをより詳細に制御するために、以下の 2 つのオブジェクトを設定できます。

• SACK (Selective Acknowledgement) － このパラメータにより、Selective ACK を有効にするかどうかを制御します。SACK を有効にすると、パケットまたは一連のパケットを破棄することが可能になり、受信側から送信側に、どのデータが受信されたか、データ内のどこに欠陥があるかが通知されます。

• MSS (Minimum Segment Size) － TCP セグメントのサイズのしきい値を設定することで、大きすぎてターゲット サーバに送信できないセグメントが発生することを防止します。例えば、サーバがIPsec ゲートウェイである場合、トラフィックをトンネリングするときに IPsec ヘッダーの領域を残すために、サーバで受信される MSS を制限する必要があることがあります。プロキシ シーケンスの際、ファイアウォールでは、サーバが SYN 生成済みパケットに応答するときにサーバに送信される MSS値を予測することはできません。セグメントのサイズを制御できるようにすることで、WAN クライアントに送信される生成済み MSS 値を制御することができます。

「SYN プロキシしきい値」領域には、以下のオプションがあります。

• すべての LAN/DMZ サーバが、TCP SACK (選択的確認応答) オプションをサポートする － このチェックボックスをオンにすると、Selective ACK が有効になります。 これにより、パケットを破棄できるようになり、受信側機器でどのパケットを受信したかを送信側に通知できるようになります。WAN からアクセスされるファイアウォールによって保護されるすべてのサーバが、SACK オプションをサポートするとわかっている場合にのみ、このチェックボックスをオンにしてください。

• WAN クライアントに送信する MSS を制限する (接続のプロキシ時) － 最大の MSS (Minimum Segment Size) 値を入力できます。既定値の 1460 をオーバーライドする値を指定した場合、SYN/ACK Cookie でそのサイズ以下のセグメントがクライアントに送信されることになります。この値を小さく設定しすぎると、SYN プロキシを常時有効にしたときにパフォーマンスが低下する可能性があります。この値を高く設定しすぎると、サーバが小さな MSS 値を使って応答したときに、接続が壊れる可能性があります。

– WAN クライアントに送信する最大 TCP MSS。MSS の値です。既定値は 1460 です。

Note プロキシ WAN クライアント接続を使用する際には、これらのオプションを少なめの値に設定するようにしてください。 これらの値は、SYNフラッドが発生したときにのみ接続に適用されるためです。これにより、攻撃中でも正規の接続が続行されます。

• 受信した SYN パケットを常にログに記録する。受信したすべての SYN パケットをログします。

レイヤ 2 SYN/RST/FINフラッド防御設定

SYN/RST/FIN ブラックリスト機能とは、SYN、RST、FIN ブラックリスト攻撃しきい値を超えた機器が含まれるリストです。ファイアウォール機器では、パケット評価プロセスの初期段階で、ブラックリストに含まれている機器から送信されたパケットを破棄します。 これにより、このようなパケットをファイアウォールでより多く処理できるようになり、ローカル ネットワークから発生した攻撃に対する防御と、WAN ネットワークに対するレイヤ 2防御が実現されます。

デバイスを SYN/RST/FIN ブラックリストとウォッチリストの両方に追加することはできません。ブラックリストを有効にすると、ブラックリストしきい値を超えた機器がウォッチリストから削除され、ブラックリストに追加されます。逆に、ブラックリストから機器を削除すると、その機器はウォッチリストに戻されます。MAC アドレスがブラックリストに登録された機器は、その機器からのフラッドが停止してから約 3 秒後にブラックリストから削除されます。

「レイヤ 2 SYN/RST/FINフラッド防御 － MAC ブラックリスト」セクションには、以下のオプションがあります。

• SYN/RST/FIN フラッド ブラックリストに対するしきい値 (パケット/秒) － 毎秒許容される SYNパケット、RST パケット、および FIN パケットの最大数。既定値は 1,000 です。ブラックリストは比較的強力なローカル攻撃や WAN ネットワークからの激しい攻撃の防止を目的としているため、このしきい値には SYN プロキシしきい値よりも大きな値を設定する必要があります。

• すべてのインターフェースで SYN/RST/FIN フラッド ブラックリストを有効にする － ファイアウォールのすべてのインターフェースでブラックリスト機能が有効になります。

– WAN のマシンはブラックリストに記録しない － このチェックボックスは、WAN 上のシステムが決して SYN ブラックリストに追加されないようにします。これはファイアウォールの WAN ポートに向けた/WAN ポートからのトラフィックを遮断することがあるため、非選択のままにすることを推奨します。

– SonicWALL 管理トラフィックを常に許可する － ブラックリストに登録された機器からファイアウォールの WAN IP アドレス宛に送信される IP トラフィックが除外されなくなります。これにより管理トラフィックとルーティング プロトコルが許可され、ブラックリストに登録された機器を経由した接続を維持することができます。

UDP 設定

既定の UDP 接続タイムアウト (秒) － UDP 接続がタイムアウトするまでの無動作時間を秒単位で入力します。この値よりも、個別ルールで設定する UDP 接続タイムアウトが優先されます。

UDP フラッド防御

UDP フラッド攻撃は、サービス拒否 (DoS) 攻撃の一種です。リモート ホストのランダムなポートに対して大量の UDP パケットを送信することで開始されます。その結果、攻撃対象となったシステムのリソースが攻撃パケットの処理のために消費され、他のクライアントがシステムに到達できない状態に陥ります。

SonicWALL UDP フラッド防御は、"監視とブロック” 手法で、このような攻撃からシステムを保護します。装置は、特定の送信先への UDP トラフィックを監視します。1 秒あたりの UDP パケット数が、指定の時間内で許容されるしきい値を超えた場合、装置はそれ以降に受信される UDP パケットを破棄してフラッド攻撃を撃退します。

UDP フラッド防御の状態に関係なく、装置で設定された DNS サーバとやり取りされる DNS のクエリや応答に使う UDP パケットは通過が許可されます。

UDP フラッド防御を設定するには、次の設定を使用します。

• UDP フラッド防御を有効にする － UDP フラッド防御を有効にします。

• UDP フラッド攻撃しきい値 (UDP パケット/秒) － ホスト、範囲、またはサブネットに送信される秒毎の UDP パケットしきい値。この数値を超えると UDP フラッド防御が適用されます。

• UDP フラッド攻撃遮断時間 (秒) － 秒毎の UDP パケット数が攻撃しきい値を超え、その状態がここに指定した時間に達するまで継続した場合、UDP フラッド防御が有効化され、装置はそれ以降に受信される UDP パケットを破棄し始めます。

• 保護された UDP フラッド送信先リスト － UDP フラッド防御で保護する送信先アドレス オブジェクトまたはアドレス グループ。

ICMP フラッド防御

ICMP フラッド防御は、監視対象が ICMP フラッド攻撃であることを除き、UDP フラッド防御と同じ動作をします。唯一の違いは、ICMP フラッド防御では DNS クエリの通過が許可されないことです。

ICMP フラッド防御を設定するには、次の設定を使用します。

• ICMP フラッド防御を有効にする － ICMP フラッド防御を有効にします。

• ICMP フラッド攻撃しきい値 (ICMP パケット/秒) － ホスト、範囲、またはサブネットに送信される秒毎の ICMP パケットしきい値。この数値を超えると ICMP フラッド防御が適用されます。

• ICMP フラッド攻撃遮断時間 (秒) － 秒毎の ICMP パケット数が攻撃しきい値を超え、その状態がここに指定した時間に達するまで継続した場合、ICMP フラッド防御が有効化され、装置はそれ以降に受信される ICMP パケットを破棄し始めます。

• 保護された ICMP フラッド送信先リスト － ICMP フラッド防御で保護する送信先アドレス オブジェクトまたはアドレス グループ。

トラフィック統計

「ファイアウォール > フラッド防御」ページでは、次のトラフィック統計を参照できます。

• TCP トラフィック統計