緊急パケットがファイアウォールでブロックされる
Description
URG フラグが TCP ストリームに設定される(Urgent パケット)と、ファイアウォールはDrop Code: 70(Invalid TCP Flag(#1)), Module Id: 25としてパケットを破棄します。これは、TCP X-mas、DOS、DDOSなどの攻撃を防ぐためのセキュリティ対策として、アクセスルールの既定値で緊急パケットをブロックする設定となっているためです。
この時ログイベント"TCP packet received with Urgent flag or pointer; TCP packet dropped"が発生しますが、既定のログ設定ではGUI表示、Syslog送信ともに無効化されているため、実際にはログに表示されません。
Cause
ファイアウォールはデフォルトで正しい/不正に関わらずURGフラグを持つTCPパケットをドロップし、DOS、DDOS、TCP-Xmasなどの攻撃を防ぎます。
一般的にDBソフトウェア(Oracle, SQL Serverなど)では、URGフラグを設定したパケットを使用しますので、デフォルトの設定のままでは通信が遮断される場合があります。この場合は、以下に説明する方法で、TCP緊急パケットを許可してください。
SonicOS 7.0の場合
このバージョンではSonicOS 6.5以前のファームウェアとは異なるユーザーインターフェースの大幅な変更と多くの新機能を搭載しています。下記の解決策は、SonicOS 7.Xファームウェアを使用しているお客様向けです。
- ポリシー | ルールとポリシー | アクセスルールへ移動します。
- トラフィックフローに該当するアクセスルールを選択し、編集をクリックします。
- オプション設定 へ移動します。
- TCP 緊急パケットを許可するを有効にして保存をクリックします。
SonicOS 6.5の場合
このバージョンでは、SonicOS 6.2以前のファームウェアとは異なるユーザーインターフェースの大幅な変更と多くの新機能が追加されています。以下の解決策は、SonicOS 6.5ファームウェアを使用しているお客様向けです。
- 管理 | ルール | アクセスルールへ移動します
- トラフィックフローに該当するアクセスルールを選択し、編集をクリックします
- 詳細へ移動します
- TCP 緊急パケットを許可するを有効にして保存をクリックします。
注意: TCP緊急パケットを許可する を有効にした場合でも、DoS攻撃やX -mass Tree攻撃などで不正にURGフラグが設定されたパケットは破棄されます。
注意: フラッド防御のTCP設定にて、不正な TCP 緊急パケットを破棄する 設定があり、既定で有効です。この設定はトラブルシューティングの目的以外で無効にしないでください。この機能はDoS攻撃などで不正にURGフラグが設定されたTCPパケットを破棄する機能です。正規のUrgentパケットはこの機能で破棄されることはありません。
参考:
URGフラグのついたTCPパケットをドロップしていることは、TSR(Technical Support Report)にて以下の情報を確認することで可能です。
###
Dropped Urgent Packets: 25
###