7. 動的フィルタリングその 2 (不正アクセス検知)
通過するパケットを、 不正なパケットの持つパターンと比較することで、侵入や攻撃を検出し、ユーザに通知することができま す。パケット単位の処理の他、 コネクションの状態に基づく検査や、ポートスキャンのような状態管理の必要な検査も実施しま す。ただし、侵入に該当するか否かを正確に判定することは難しく、 完全な検知は不可能であることに注意してください。
動的フィルタで管理している情報を利用して動作するため、 動的フィルタと併用することで、最大限の効果を発揮します。例え ば、SMTP に対する動的フィルタが設定されていれば、その情報に基づいて、SMTP に関する侵入を検知します。逆に、動的フィ ルタが設定されていなければ、 SMTP に関する侵入を検知しません。
一方、IP ヘッダや ICMP のように、動的フィルタでは扱えないパケットについては、動的フィルタの設定の有無に関わらず動作し ます。また、TCP や UDP についても、基本的には動的フィルタを定義しなくても機能します。
7.1 PP インタフェースの内向きのトラフィックで侵入や攻撃を検知する
8. ポリシーフィルタ設定例
Rev.10 以降のファームウェアではそれ以前の動的フィルタの機能に替わりポリシーフィルタの機能が実装されています。
ポリシーフィルタは従来のファームウェアの動的フィルタに相当しており、Stateful Inspection 方式のフィルタリングを実現す るものです。すなわち、 パケットの単位ではなく、コネクションの単位で、通過と破棄を指定することができます。たとえば、
「SMTP のコネクションを通す」とか「TELNET のコネクションを破棄する」というような制御が可能です。
コネクションを指定するために、 下記の項目を設定します。
・受信インターフェース
・送信インターフェース
・始点アドレス
・終点アドレス
・サービス
サービスとは、多くの場合、 アプリケーションに対応しており、たとえば、TELNET、SMTP、POP、FTP、WWW などの値を 取るものです。
動作としては、通過と破棄のいずれかを設定できます。 例えば、
#ip policy filter 10 reject-log lan2 lan1 * * telnet
#ip policy filter 11 pass-nolog lan1 lan2 * * ping の例では、
・LAN2 から LAN1 へ抜ける TELNET を破棄する
・LAN1 から LAN2 へ抜ける ping を許可する
という 2 つのルールを定義しています。ヤマハルーターでは、このように条件と動作を組み合わせたルールをポリシーと呼んでい ます。
ポリシーの動作としては、 次の 4 種類があります。
インターフェースやアドレスやサービスを表現するときには、グループという概念を使うことができます。 グループは複数の値を まとめて扱うときに使うもので、 例えば以下のように設定すると、複数のインターフェースをまとめた「Private」という名前の インターフェースグループや、 smtp と pop3 をまとめて「Mail」という名前のサービスグループを作ることができます。
#ip policy interface group 1 name=Private local lan1
#ip policy service group 1 name=Mail smtp pop3
ポリシーを順に並べたものをポリシーセットと呼びます。 ヤマハルーターでは複数のポリシーセットを定義でき、そのうちの 1 つ を選んで使用します。 例えば、普段は「通常設定」という名前のポリシーセットを使っておき、何か問題が発生したら、「緊急設 定」という名前のポリシーセットに切り替えるという使い方をします。
ポリシーを階層的に並べることもできます。 これは、条件を絞り込んで例外的なポリシーを追加するときに便利です。ポリシーを 階層的に書く場合、下位のポリシーは、 上位のポリシーの条件を引き継ぎます。つまり、下位のポリシーの条件は、上位のポリ シーの条件を絞り込むことになります。ポリシーの階層は最大で 4 階層まで定義できます。
GUI での設定方法やより詳しい情報については、ヤマハホームページをご参照ください。
動作 説明
pass パケットを通します。 TCP と UDP と ping については、Stateful Inspection 方式で通し、それ以外の パケットについては、 そのまま通します。
static-pass Stateful Inspection 方式を使わずにパケットを通します。
reject パケットを破棄します。
restrict パケットを送信しようとするインターフェースが up しており、パケットを送信できる状態になっている ならば通し、そうでなければパケットを破棄します。パケットを通すときには、TCP と UDP と ping に ついては、Stateful Inspection 方式で通し、それ以外のパケットについては、そのまま通します。