Screening一覧

Firewallなので、さまざまな攻撃を防御することができる。
Screeningの画面から、防御したい攻撃をチェックする。

博士　望遠鏡（博士）誤検知の可能性があるので、何でもかんでもチェックするとアプリケーションや業務に支障が出る場合があるよ。
閾値が設定できるものもあるので、適切に設定しよう。
デフォルトの設定からスタートするのもよいだろう。

あこスマイル

（アコ）　Screeningという言葉に違和感がありますが、L3レベル（パケットフィルタ）より上位のFirewall機能と考えると、分かりやすいですね。

コマンドラインからは以下が入力可能（GUIも同様）

◆set zone untrust screen に続くコマンド
alarm-without-drop   Don't drop packet, only generate alarm
block-frag           enable ip fragment blocking
component-block      enable component block protection
fin-no-ack           enable Fin bit with no ACK bit in flags protection
icmp-flood           enable icmp flood protection
icmp-fragment        enable icmp fragment protection
icmp-large           enable too large icmp packet (size > 1024) protection
ip-bad-option        enable ip with bad option detection
ip-filter-src        filter ip src route option
ip-loose-src-route   enable ip with loose source route option detection
ip-record-route      enable ip with record route option detection
ip-security-opt      enable ip with security option detection
ip-spoofing          enable address spoofing protection
ip-stream-opt        enable ip with stream option detection
ip-strict-src-route enable ip with strict source route option detection
ip-sweep             enable address sweep protection
ip-timestamp-opt     enable ip with timestamp option detection
land                 enable land protection
limit-session        limit sessions
mal-url              block malicious URL
ping-death           enable ping of death protection
port-scan            enable port scan protection
syn-ack-ack-proxy    enable syn-ack-ack proxy protection
syn-fin              enable SYN & FIN bits set attack protection
syn-flood            enable SYN flood protection
syn-frag             enable SYN frag packet detection
tcp-no-flag          enable TCP packet without flag protection
tear-drop            enable teardrop protection
udp-flood            enable udp flood protection
unknown-protocol     enable unknown protocol protection
winnuke              enable winnuke attack protection

■説明
land：送信元と受信元を同一に偽装したパケットを送りつける攻撃
syn-flood:Dos攻撃の一種。3wayハンドシェイクのsynだけを送る
tear-drop：分割したパケットを元に戻す処理において、値を偽装して不整合を起こさせるもの。
icmp-flood：pingなどのicmpパケットを大量に送るDos攻撃の一種
port-scan：空いているポートをチェックする機能
ip-spoofing:IPアドレスの偽装
icmp-large：ICMPのパケットサイズが大きいものを送りつける

08:15│コメント(3)│５．Firewallの設定

コメント一覧

1. Posted by 真 2008年09月08日 10:40

ip-filter-src の意味を教えていただけないでしょうか？

2. Posted by 矢向 2010年02月16日 16:55

ソースルーティングのことではない？
ポリシールーティングみたいなやつにたいするフィルタだと思います。

3. Posted by キュル 2010年04月19日 11:43

そもそも受けた時の動作はどうなんでしょう？
例：Teardrop attack! From [ip:port] to [ip:port] , proto TCP

受けた事を通知してくれる(emergencyはどうかと)のはありがたいですが、、、、
■当該通信はどうなる　→当然drop?
■その後の動作は　→　当該[ip:port] からは一定時間"一定時間とは?"
受け付けないとか

配下のサービスによっては多発して扱いに困ります。
よろしくお願いいたします。

コメントする

名前:
メール:
URL:
	情報を記憶：評価：顔星