-
Products
-
SonicPlatform
SonicPlatform is the cybersecurity platform purpose-built for MSPs, making managing complex security environments among multiple tenants easy and streamlined.
Discover More
-
-
Solutions
-
Federal
Protect Federal Agencies and Networks with scalable, purpose-built cybersecurity solutions
Learn MoreFederalProtect Federal Agencies and Networks with scalable, purpose-built cybersecurity solutions
Learn More - Industries
- Use Cases
-
-
Partners
-
Partner Portal
Access to deal registration, MDF, sales and marketing tools, training and more
Learn MorePartner PortalAccess to deal registration, MDF, sales and marketing tools, training and more
Learn More - SonicWall Partners
- Partner Resources
-
-
Support
-
Support Portal
Find answers to your questions by searching across our knowledge base, community, technical documentation and video tutorials
Learn MoreSupport PortalFind answers to your questions by searching across our knowledge base, community, technical documentation and video tutorials
Learn More - Support
- Resources
- Capture Labs
-
- Company
- Contact Us
SMA100: DoS/DDoS攻撃を軽減する方法
11/14/2024 
13 People found this article helpful
95,879 Views
Description
この記事では、SMA100装置に対するDoS/DDoS攻撃の影響を軽減するために実行できる設定手順について説明します。
これらの攻撃の種類は異なる場合があり、このガイドは攻撃対象領域を減らすための一般的な手順を提供することを目的としています。
注意: 以下の設定には別売りのWeb Application Firewallライセンスが必要となります。
注意: 導入ガイドで推奨されているように、SMA装置の前にファイアウォール装置を配置し、このような攻撃のフィルタとして機能させることが非常に重要です。
Resolution
対策:
WAFポリシー/ルールの作成
- SMA100装置の管理GUIで、ウェブアプリケーションファイアウォール > ルール に移動します。
- 連鎖ルール の + をクリックします。
- 新規連鎖ルールを作成します。
(1) 名前にこのルールの名前を指定します。
(2) 動作 を防御 に変更します。
(3) その他は規定値のままとします。
(4) 適用をクリックして保存します。
- 作成した連鎖ルールの編集画面で、ルールの追加 をクリックします。
- ルールの追加 画面を設定します。
(1) 変数 の上のドロップダウンボックスで要求パスを選択して + をクリックします。 変数 に 要求パス が追加されることを確認します。
(2) 同様にURI を選択し、+ をクリックし、変数 に URI が追加されることを確認します。
(3) 演算子のチェックボックスをチェックします。その右側のドロップダウンボックスで 部分一致を選択します。
(4) 値 に /cgi-bin/userlogin を入力します。
(5) 回避対策 で、小文字変換、URIパスの正規化、 空白の削除 、両端空白の除去を選択します。
(6) 適用 をクリックします。
- ルールが追加されていることを確認して適用をクリックします。
- この例ではURIが /cgi-bin/userlogin で攻撃を受けている場合の設定になりますが、ログを確認し、/cgi-bin/welcome などその他のURIで攻撃が発生している場合は、ルールの追加 でその他のURIでのルールを作成してください。
不明なユーザ名での攻撃によるAD Acountのロック
- ポータル > ドメイン でActive Directoryのドメインの編集画面を開きます。
- ローカルにリストされたユーザのみ許可する を有効にします。
仮想オフィスポータル
攻撃者が同じ不明なユーザーで各ドメインにリクエストを大量に発生させようとしている場合は、ポータルのログインページでドメインリストを非表示にして、攻撃者がアプライアンスで使用可能なドメインを取得できないようにして、攻撃対象領域と成功率を減らすことをお勧めします。
ポータル > ポータルで、各ポータルの設定画面で ポータルログインページのドメインリストを非表示にする を有効にします。
その他の可能な手順
- 攻撃の送信元IPを確認し、ボットネットポリシーに手動で追加して拒否します。
(1) SMAの管理GUIで地域IPとボットネットフィルタ > ポリシーに移動します。
(2) ボットネットポリシーの追加 をクリックします。
(3) ポリシーの適用先 でIPアドレスを指定します。IPネットワークを指定することも可能です。
(4) IPアドレスに攻撃者のIPアドレスを入力します。
(5) 動作 を 拒否 に設定します。
- SMA100装置の上位(インターネット側)に設置されたファイアウォールを攻撃フィルタとして使用し、SMAに到着する未承諾/不要な要求の量を減らします。
- 上位のファイアウォールがSonicWall製品の場合のDDoS攻撃を軽減するための設定については以下の情報を確認ください。
- How can I configure the SonicWall to mitigate DDoS attacks? | SonicWall
- Video: How to Configure DoS and Flood Protection on a SonicWall SonicOS 7 Firewall (youtube.com)
- How to configure SonicWall Geo-IP Filter using Firewall Access Rules.
- How to Configure Botnet Filtering with Firewall Access Rules | SonicWall
(追加情報) 追加の攻撃防御の機能
注意: ここに記載された情報は、将来のファームウェアに搭載される予定の機能に関する情報であり、参考情報として提供するものです。ここで記載された情報をお約束するものではありません。
この機能は、バージョン10.2.1.12(リリース時期未定) で実装される予定です、バージョン10.2.1.11に本機能を追加した試験バージョンのファームウェアを希望のお客様はSonicWallサポートまでお問い合わせください。
システム > 管理 のHTTP DoS 設定 セクションに以下のオプションを追加します。
Block Source IP for Continuous Login Failures: 連続してログインに失敗する発信元IPアドレスをブロックする機能を有効または無効にします。デフォルト値は有効です。このオプションを無効にすると、すべてのブロックされた IP アドレスが解除され、アプライアンスへのアクセスが許可されます。
Max Continuous Login Failure Count: 連続ログイン失敗の回数を設定します。有効範囲は 5 から 300 で、デフォルト値は 30 です。連続ログイン失敗の回数が制限値に達すると、ポリシーが適用され、このソースIPからのアクセスがブロックされます。
Block Time Period (minutes): 送信元 IP がブロックされている間のロック時間を設定します。有効範囲は 1 分から 300 分で、デフォルト値は 10 分です。時間が経過すると、送信元 IP アドレスのブロックが解除され、アプライアンスへのアクセスが許可されます。
それでも他の行動や症状がある場合は、TSRを準備の上SonicWallテクニカルサポートにお問い合わせください。テクニカルサポートへのお問い合わせ方法は、こちらをご参照ください。
Related Articles
Categories
- Secure Mobile Access > SMA 100 Series > Vulnerabilities
- Secure Mobile Access > SMA 100 Series > Configuration
YES
NO