DoS Protectionの設定方法について

告知

ATTENTION Customers, All Partners and Employees: The Customer Support Portal (CSP) will be undergoing maintenance and unavailable on Saturday, November 7, 2020, from 11 am to 11 pm PST. Please read our blog for more information.

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
How to Set Up DoS Protection
https://live.paloaltonetworks.com/t5/Tutorials/How-to-Set-Up-DoS-Protection/ta-p/71164

 

ルールベースのDoS protectionを使用する場合、管理者はポリシーを設定して、DoS攻撃者から防御設定できます。ルールベースの設定はPolicies > DoS Protectionからできます。これらのポリシーは、ゾーン、インターフェイス、IPアドレス、ユーザ情報などが一致するものを条件として設定できます。

 

 

DoS protectionを使用するには、DoSのルールをセキュリティ・ポリシーのように、設定された条件で流れているトラフックが一致するよう作成します。これらの設定はObjectsタブ> Security Profiles > DoS Protectionにて設定できます。

 

まず初めに、プロファイルのタイプを明示的にします。aggregateclassifiedを選びます。

 

  • Aggregate: プロファイル上のDoSの閾値をこのプロファイルに設定した条件ルールに一致する全てのパケットに対して適応します。例えば、秒間10000パケットのSyn flood閾値のaggregateルールは、その特定のDoSルールにヒットする全てのパケットをカウントします。
  • Classified: プロファイル上のDoSの閾値は分類基準別(送信元IP、宛先IPもしくは送信元、宛先IPの組み合わせ別)にカウントします。

 

DoS protectionプロファイルは、いくつかの種類のDoS攻撃を緩和させるために利用することができます。

 

Flood protectionはゾーン protectionプロファイルの一つに似ています。Syn floodでは、SYN CookieRandom Early Drop(RED)がオプションで選べます。他のタイプのfloodではREDが使われます。ゾーン protectionプロファイルでは同じ設定オプションになっていることにお気づきになるでしょう。加えて、Block Durationがあり、攻撃しているIPを何秒間Denyするか設定できます。

 

Flood protectionに加えて、リソースprotectionも選択できます。このタイプのprotectionは、ホストの使用率を強制します。 特定の送信元IPアドレス、宛先IPアドレス、またはIP送信元と宛先ペアに対して許可されるセッションの最大数を制限します。

 

次に、Policies > DoS Protectionに移動し、セキュリティ・ルールと同様の手順で、DoSポリシーを作成します。

 

お気づきのように、ほとんどのパラメータはセキュリティ・ルールと同様です。

ルール名を設定した後、送信元、宛先、およびサービスを設定したら、Aggregateドロップダウンを使用してルールにプロファイルを添付するか、New DoS Protectionをクリックして新しいポリシーを作成できます。

 

deny/allow/protectの3種類の異なるアクションがあります。

 

Deny – トラフィックを全て落とします

Allow - トラフィックを全て通します

Protect - このルールに適用されるDoSプロファイルの一部として構成された閾値で設定された保護を実施します。

 

Schedule プルダウンを使用して、特定の日時にDoSルールを適用するスケジュールを割り当てることができます。

Log Forwarding プルダウンを使用して、脅威ログエントリをsyslogサーバやPanoramaなどの外部サービスに転送するようにログ転送を設定できます。

このチュートリアルのために、分類されたDoS保護プロファイルタイプを作成しました。 チェックボックスをオンにすると、Profile プルダウンメニューをから分類されたプロファイルタイプを選択できます。 下のAddressプルダウンメニューにて、先ほど述べた分類基準(source-ip-only / destination-ip-only / src-dest-ip-both)を選択できます。

 

例として、aggregate DoS protectionプロファイルとclassified DoS protectionプロファイルの両方を同じDoSルールに設定できます。

 

OKを選択し、Commitで設定を保存します。

 

CLIの場合、設定したDoS ルールを以下のコマンドで確認できます:

 

> show dos-protection rule <name> settings

 

このサンプル例では、以下のDoSルールが参照できます。

  • name = DosRule
  • aggregate profile = DosProtection
  • classified profile = Dos_classified
  • classification criteria = source-only
  • action = Protect

 

出力結果では、プロファイルで設定した全ての閾値も確認できます。

 

他にもVideo上で話されているトピックや、サンプルに関連した便利なリンク集が以下となります :

 

 

著者: Kim