アクセラレイテッドSYNディフェンダ

はじめに

TCP SYN Flood攻撃は、通常、偽造したIPアドレスを持つホストが、TCP [SYN]パケットの洪水を送信したときに発生します。これらのTCP [SYN]パケットは、それぞれ接続要求として扱われ、サーバはハーフオープン(未確立)のTCP接続を作成することになる。これは、サーバがTCPの[SYN+ACK]パケットを送信し、応答のTCPパケットが到着しないのを待つために起こります。

これらの半開きのTCPコネクションは、最終的に利用可能なTCPコネクションの最大値を超えてしまいます。このため、サービス拒否状態が発生します。

Check Point Accelerated SYN Defender は、過剰な TCP 接続の作成を防止することで、Security Gateway(Scalable Platform Security Group)を保護します。

Accelerated SYN Defenderは、TCP SYN Flood攻撃の疑いがある場合、TCP [SYN] Cookie(最初のTCPシーケンス番号の特定の選択)を使用します。TCP [SYN] Cookieを使用することで、Security GatewayおよびSecurity Gatewayの背後にあるコンピュータ(Scalable Platform Security Group)の負荷を軽減することができます。Accelerated SYN Defenderは、TCPコネクションのプロキシとして動作し、TCPパケットのTCP{SEQ}とTCP{ACK}の値を調整する。

これは、Accelerated SYN Defenderを有効にした状態で、セキュリティゲートウェイ閉じた Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。(Scalable Platform Security Group)を経由したTCP接続を示すTCPタイムラインダイアグラムの例である。

:この例では、TCPの再送信がなく、初期データもないものと仮定しています。

              Security Gateway
Client         with Accelerated         Server
   |             SYN Defender              |
   |                   |                   |
   | -(1)--SYN-------> |                   |
   | <---SYN+ACK--(2)- |                   |
   | -(3)--ACK-------> |                   |
   |                   |                   |
   |                  (4)                  |
   |                   |                   |
   |                   | -(5)--SYN-------> |
   |                   | <---SYN+ACK--(6)- |
   |                   | -(7)--ACK-------> |
   |                   |                   |

  1. クライアントがサーバにTCPの[SYN]パケットを送信する。

  2. Accelerated SYN Defenderは、Seq フィールドに特別なクッキーを含むTCP [SYN+ACK]パケットでクライアントに返信します。

    セキュリティゲートウェイ(Scalable Platform Security Group)は、現時点では接続状態を保持しない。

  3. クライアントは応答TCP [ACK]パケットを送信します。これで、Client側のTCP接続は完了です。

  4. Accelerated SYN Defenderは、クライアントのTCP [ACK]パケットのSYNクッキーが正当なものかどうかをチェックする。

  5. クライアントのTCP [ACK]パケットのSYNクッキーが正当であれば、Accelerated SYN DefenderはTCP [SYN]パケットをサーバに送信し、サーバ側のTCP接続を開始させる。

  6. サーバはTCPの[SYN+ACK]パケットで返信する。

  7. Accelerated SYN Defenderは、TCP 3ウェイハンドシェイクのServer-sizeを完了するためにTCP [ACK]パケットを送信する。

  8. Accelerated SYN Defenderは、TCP接続が確立されたとマークし、両者間のTCPシーケンス調整を記録します。

SecureXL閉じた セキュリティゲートウェイを通過するIPv4およびIPv6トラフィックを高速化するセキュリティゲートウェイ上のCheck Point製品。はTCPの[SYN]パケットを処理する。セキュリティゲートウェイ(Scalable Platform Security Group)は、残りのTCP接続設定を処理する。

Accelerated SYN Defenderが確立する各TCP接続について、セキュリティゲートウェイ(Scalable Platform Security Group)は、そのTCP接続の寿命のためにTCPシーケンス番号を調整する。

コマンドライン・インタフェース

Accelerated SYN Defenderを設定するには、fwaccel synatkコマンドを使用します。

SmartConsoleでIPSの「SYNアタック」防御を設定する

重要- Scalable Platform Security Groupは、SmartConsole閉じた Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。でのIPS閉じた さまざまなタイプのリスクについてパケットとデータを検査および分析するセキュリティゲートウェイ上のCheck Point Software Blade(侵入防止システム)。の「SYNアタック」保護の設定をサポートしていません(既知の制限MBS-5415)。

IPSの「SYN攻撃」保護は、SYNフラッド攻撃を緩和することを目的としています。

ステップ

手順

1

SmartConsoleで管理サーバに接続します。

2

左側のナビゲーションパネルでSecurity Policiesをクリックします。

3

Shared Policiesセクションで、Inspection Settingsをクリックします。

4

トップフィールドで、SYN Attack を検索してください。

5

SYN Attack のプロテクトをダブルクリックします。

6

該当する検査プロファイルを編集します。

7

該当するタブで、各設定を行います。

  • General Properties のページで。

    Override with Action を選択し、さらにAccept またはDrop を選択すると、Security Gateway でfwaccel synatkコマンドを使用して行った設定が上書きされます。

  • Advanced のページで。

    Activation Settings (Protect all interfaces またはProtect external interfaces only) で選択したオプションは、Security Gateway でfwaccel synatkコマンドを使用して行った設定を上書きします。

9

アクセスコントロールポリシーをインストールします。

SmartConsoleのSYN Attack 保護の詳細については、sk120476を参照してください。