SMA100: DoS/DDoS攻撃を軽減する方法
Description
この記事では、SMA100装置に対するDoS/DDoS攻撃の影響を軽減するために実行できる設定手順について説明します。
これらの攻撃の種類は異なる場合があり、このガイドは攻撃対象領域を減らすための一般的な手順を提供することを目的としています。
注意: 以下の設定には別売りのWeb Application Firewallライセンスが必要となります。
注意: 導入ガイドで推奨されているように、SMA装置の前にファイアウォール装置を配置し、このような攻撃のフィルタとして機能させることが非常に重要です。
Resolution
対策:
WAFポリシー/ルールの作成
- SMA100装置の管理GUIで、ウェブアプリケーションファイアウォール > ルール に移動します。
- 連鎖ルール の + をクリックします。
- 新規連鎖ルールを作成します。
(1) 名前にこのルールの名前を指定します。
(2) 動作 を防御 に変更します。
(3) その他は規定値のままとします。
(4) 適用をクリックして保存します。
- 作成した連鎖ルールの編集画面で、ルールの追加 をクリックします。
- ルールの追加 画面を設定します。
(1) 変数 の上のドロップダウンボックスで要求パスを選択して + をクリックします。 変数 に 要求パス が追加されることを確認します。
(2) 同様にURI を選択し、+ をクリックし、変数 に URI が追加されることを確認します。
(3) 演算子のチェックボックスをチェックします。その右側のドロップダウンボックスで 部分一致を選択します。
(4) 値 に /cgi-bin/userlogin を入力します。
(5) 回避対策 で、小文字変換、URIパスの正規化、 空白の削除 、両端空白の除去を選択します。
(6) 適用 をクリックします。
- ルールが追加されていることを確認して適用をクリックします。
- この例ではURIが /cgi-bin/userlogin で攻撃を受けている場合の設定になりますが、ログを確認し、/cgi-bin/welcome などその他のURIで攻撃が発生している場合は、ルールの追加 でその他のURIでのルールを作成してください。
不明なユーザ名での攻撃によるAD Accountのロック
- ポータル > ドメイン でActive Directoryのドメインの編集画面を開きます。
- ローカルにリストされたユーザのみ許可する を有効にします。
仮想オフィスポータル
攻撃者が同じ不明なユーザーで各ドメインにリクエストを大量に発生させようとしている場合は、ポータルのログインページでドメインリストを非表示にして、攻撃者がアプライアンスで使用可能なドメインを取得できないようにして、攻撃対象領域と成功率を減らすことをお勧めします。
ポータル > ポータルで、各ポータルの設定画面で ポータルログインページのドメインリストを非表示にする を有効にします。
その他の可能な手順
- 攻撃の送信元IPを確認し、ボットネットポリシーに手動で追加して拒否します。
(1) SMAの管理GUIで地域IPとボットネットフィルタ > ポリシーに移動します。
(2) ボットネットポリシーの追加 をクリックします。
(3) ポリシーの適用先 でIPアドレスを指定します。IPネットワークを指定することも可能です。
(4) IPアドレスに攻撃者のIPアドレスを入力します。
(5) 動作 を 拒否 に設定します。
- SMA100装置の上位(インターネット側)に設置されたファイアウォールを攻撃フィルタとして使用し、SMAに到着する未承諾/不要な要求の量を減らします。
- 上位のファイアウォールがSonicWall製品の場合のDDoS攻撃を軽減するための設定については以下の情報を確認ください。
- How can I configure the SonicWall to mitigate DDoS attacks? | SonicWall
- Video: How to Configure DoS and Flood Protection on a SonicWall SonicOS 7 Firewall (youtube.com)
- How to configure SonicWall Geo-IP Filter using Firewall Access Rules.
- How to Configure Botnet Filtering with Firewall Access Rules | SonicWall
(追加情報) 追加の攻撃防御の機能
注意: ここに記載された情報は、バージョン10.2.1.12で実装された新機能です。
システム > 管理 のHTTP DoS 設定 セクションに以下のオプションを追加します。
連続ログイン失敗時に送信元 IP を遮断する: 連続してログインに失敗する発信元IPアドレスをブロックする機能を有効または無効にします。デフォルト値は有効です。このオプションを無効にすると、すべてのブロックされた IP アドレスが解除され、アプライアンスへのアクセスが許可されます。
最大連続ログイン失敗数: 連続ログイン失敗の回数を設定します。有効範囲は 5 から 300 で、デフォルト値は 30 です。連続ログイン失敗の回数が制限値に達すると、ポリシーが適用され、このソースIPからのアクセスがブロックされます。
遮断期間 (分): 送信元 IP がブロックされている間のロック時間を設定します。有効範囲は 1 分から 300 分で、デフォルト値は 10 分です。時間が経過すると、送信元 IP アドレスのブロックが解除され、アプライアンスへのアクセスが許可されます。
ヒント: 実際にブロックされた送信元IPのリストは、GUIで確認できますが、TSRに含まれるstatus.txtでも確認できます。
以下の例では、124.198.132.107から下はブロックされるIPアドレスです。
Chain brute_force_attack_policy (1 references)
pkts bytes target prot opt in out source destination
315 18900 DROP all -- * * 124.198.132.111 0.0.0.0/0
1548 116K DROP all -- * * 193.26.115.188 0.0.0.0/0
0 0 DROP all -- * * 193.26.115.188 0.0.0.0/0
0 0 DROP all -- * * 193.26.115.188 0.0.0.0/0
0 0 DROP all -- * * 193.26.115.188 0.0.0.0/0
0 0 DROP all -- * * 193.26.115.221 0.0.0.0/0
226 20975 DROP all -- * * 124.198.132.107 0.0.0.0/0
199 24927 DROP all -- * * 124.198.132.109 0.0.0.0/0
154 26612 DROP all -- * * 124.198.132.104 0.0.0.0/0
234 43895 DROP all -- * * 124.198.132.106 0.0.0.0/0
194 29587 DROP all -- * * 124.198.132.110 0.0.0.0/0
145 14136 DROP all -- * * 124.198.132.108 0.0.0.0/0
185 16136 DROP all -- * * 124.198.132.112 0.0.0.0/0
106 11892 DROP all -- * * 124.198.132.105 0.0.0.0/0
それでも他の行動や症状がある場合は、TSRを準備の上SonicWallテクニカルサポートにお問い合わせください。テクニカルサポートへのお問い合わせ方法は、こちらをご参照ください。