IPスプーフィングを防止する

IPスプーフィングでは、信頼できない送信元IPアドレスを信頼できる偽のIPアドレスに置き換え、ネットワークへの接続を乗っ取ります。攻撃者はIPスプーフィングを利用して、保護されたネットワークにマルウェアやボットを送り込み、DoS攻撃を実行したり、不正アクセスを行ったりします。

アンチ・スプーフィングとは、あるインタフェースの背後にあるIPアドレスを持つパケットが、別のインタフェースから到着した場合に検知する機能です。例えば、外部ネットワークからのパケットが内部IPアドレスを持つ場合、Anti-Spoofingはそのパケットをブロックします。

例：

この図は、インターフェイス 2 と 3、および 4 を持つ Security Gateway と、その背後にあるいくつかのネットワーク例を示しています。

Security Gatewayの場合、Anti-Spoofingは以下のことを確認します。

2への着信パケットはすべてインターネットから(1)
3へのすべての着信パケットは192.168.33.0から来る
4へのすべての着信パケットは、192.0.2.0または10.10.10.0から来る

Bへの受信パケットの送信元IPアドレスがネットワーク192.168.33.0の場合、送信元アドレスが詐称されているため、パケットはブロックされます。

Check Point Security Gateway インターフェースになりすまし防止機能を設定した場合、なりすまし防止機能はインターフェースのトポロジに基づいて実行されます。インターフェイスのトポロジは、インターフェイスの場所Leads To （例えば、External（インターネット）またはInternal）、およびインターフェイスのSecurity Zone を定義しています。

なりすまし防止の設定

内部インタフェースを含む、Security GatewayのすべてのインタフェースにAnti-Spoofing protectionを設定することを確認してください。

インターフェイスにアンチスプーフィングを設定するには、次のようにします。

SmartConsole Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。の左側のナビゲーションパネルから、Gateways & Servers をクリックし、Security Gatewayオブジェクトをダブルクリックします。

Gateway Propertiesウィンドウが開きます。
ナビゲーションツリーで、Network Managementを選択します。
Get Interfacesをクリックします。
Acceptをクリックします。

Security Gatewayのネットワークトポロジーを示す。SmartConsoleがトポロジーを自動的に取得できない場合は、General Properties セクションの内容が正しいか、Security Gateway、Security Management Server Check Pointソフトウェアを実行して、単一の管理ドメイン内のCheck Point環境のオブジェクトとポリシーを管理する専用Check Pointサーバ。同義語:単一ドメインセキュリティ管理サーバ。、SmartConsoleが互いに通信できるかを確認します。
インタフェースを選択してEditをクリックします。

インタフェースのプロパティウィンドウが表示されます。
ナビゲーションツリーでGeneralをクリックします。
ページのTopology セクションで、Modify をクリックします。

Topology Settingsウィンドウが開きます。
Leads To セクションで、このインタフェースが接続するネットワークの種類を選択します。
- Internet (External) - これはデフォルトの設定です。Security Gatewayのトポロジから自動的に算出されます。スタティックルートを変更した後に内部ネットワークファイアウォールによって保護され、認証されたユーザによってアクセスされるコンピュータとリソース。のトポロジーを更新するには、Gateway Properties ウィンドウで、Network Management > Get Interfaces をクリックします。
- Override - デフォルト設定をオーバーライドします。
Override 初期設定の場合。
- Internet (External) - すべての外部/インターネットアドレス
- This Network (Internal) -
  - Not Defined - このインタフェースの背後にあるすべてのIPアドレスは、このインタフェースに接続する内部ネットワークの一部とみなされる
  - Network defined by the interface IP and Net Mask - この内部インタフェースに直接接続するネットワークのみ
  - Network defined by routes - セキュリティゲートウェイ Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。は、このインタフェースの背後にあるトポロジーを動的に計算する。このインターフェイスのネットワークが変更された場合、Get Interfaces をクリックしてポリシーをインストールする必要はありません。詳しくはセキュリティゲートウェイのトポロジーを動的に更新するを参照してください。
  - Specific - この内部インタフェースの背後にある特定のオブジェクト（Network、Host、Address Range、Network Group）。
  - Interface leads to DMZ - この内部インタフェースに直接接続するDMZ
オプション:Security Zone セクションで、User defined を選択し、Specify Security Zone にチェックを入れ、インターフェイスのゾーンを選択します。
Anti-Spoofing オプションを設定する（「なりすまし防止オプション」を参照）。Perform Anti-Spoofing based on interface topology が選択されていることを確認します。
Anti-Spoofing action を選択します。
- Prevent - なりすましパケットをドロップ
- Detect - なりすましパケットを許可する。トラフィックを監視し、パケットをドロップせずにネットワークのトポロジーを知るには、このオプションをSpoof Tracking Log オプションと一緒に選択します。
アンチ・スプーフィング例外を設定する（オプション）。例えば、Anti-Spoofingによってパケットを検査しないアドレスを設定することができます。
1. Don't check packets fromを選択します。
2. ドロップダウン・リストからオブジェクトを選択するか、New をクリックして新規オブジェクトを作成します。
ConfigureSpoof Tracking - スプーフィングされたパケットが検出されたときに実行される追跡アクションを選択します。
- Log - ログエントリーを作成する（デフォルト）
- Alert - アラートを表示する
- None - ログやアラートを出さない
OKをクリックします。を2回押して、インターフェースのAnti-Spoofingの設定を保存します。

各インタフェースについて、設定手順を繰り返します。終了したら、アクセスコントロールポリシーをインストールします。

なりすまし防止オプション

Perform Anti-Spoofing based on interface topology - この外部インタフェースでスプーフィング保護を有効にするには、このオプションを選択します。
Anti-Spoofing action is set to - このオプションを選択すると、パケットを拒否するか（Preventオプション）、パケットを監視するか（Detectオプション）を定義することができます。Detectオプションは監視のために使用されるため、いずれかのトラッキングオプションと組み合わせて使用する必要があります。実際にパケットの通過を妨げることなく、ネットワークのトポロジーを学習するためのツールとして機能する。
Don't check packets from - 内部ネットワークから外部インタフェースに到達するトラフィックに対して、アンチスプーフィングが行われないようにするには、このオプションを選択します。有効なアドレスを持つ内部ネットワークを表すネットワークオブジェクトコンピュータ、IP アドレス、トラフィックプロトコルなど、企業トポロジのさまざまな部分を表す論理オブジェクト。管理者はセキュリティポリシーでこれらのオブジェクトを使用します。を定義し、ドロップダウンリストからそのネットワークオブジェクトを選択します。スプーフィング対策実施機構は、Don't check packets from ドロップダウンメニューで選択されたオブジェクトを無視する。
Spoof Tracking - トラッキングオプションを選択します。