SMA100: DoS/DDoS攻撃を軽減する方法
11/27/2024 30 People found this article helpful 104,697 Views
Description
この記事では、SMA100装置に対するDoS/DDoS攻撃の影響を軽減するために実行できる設定手順について説明します。
これらの攻撃の種類は異なる場合があり、このガイドは攻撃対象領域を減らすための一般的な手順を提供することを目的としています。
注意: 以下の設定には別売りのWeb Application Firewallライセンスが必要となります。
注意: 導入ガイドで推奨されているように、SMA装置の前にファイアウォール装置を配置し、このような攻撃のフィルタとして機能させることが非常に重要です。
Resolution
対策:
WAFポリシー/ルールの作成
不明なユーザ名での攻撃によるAD Acountのロック
仮想オフィスポータル
その他の可能な手順
(追加情報) 追加の攻撃防御の機能
WAFポリシー/ルールの作成
- SMA100装置の管理GUIで、ウェブアプリケーションファイアウォール > ルール に移動します。
- 連鎖ルール の + をクリックします。
- 新規連鎖ルールを作成します。
(1) 名前にこのルールの名前を指定します。
(2) 動作 を防御 に変更します。
(3) その他は規定値のままとします。
(4) 適用をクリックして保存します。
- 作成した連鎖ルールの編集画面で、ルールの追加 をクリックします。
- ルールの追加 画面を設定します。
(1) 変数 の上のドロップダウンボックスで要求パスを選択して + をクリックします。 変数 に 要求パス が追加されることを確認します。
(2) 同様にURI を選択し、+ をクリックし、変数 に URI が追加されることを確認します。
(3) 演算子のチェックボックスをチェックします。その右側のドロップダウンボックスで 部分一致を選択します。
(4) 値 に /cgi-bin/userlogin を入力します。
(5) 回避対策 で、小文字変換、URIパスの正規化、 空白の削除 、両端空白の除去を選択します。
(6) 適用 をクリックします。
- ルールが追加されていることを確認して適用をクリックします。
- この例ではURIが /cgi-bin/userlogin で攻撃を受けている場合の設定になりますが、ログを確認し、/cgi-bin/welcome などその他のURIで攻撃が発生している場合は、ルールの追加 でその他のURIでのルールを作成してください。
不明なユーザ名での攻撃によるAD Acountのロック
- ポータル > ドメイン でActive Directoryのドメインの編集画面を開きます。
- ローカルにリストされたユーザのみ許可する を有効にします。
仮想オフィスポータル
攻撃者が同じ不明なユーザーで各ドメインにリクエストを大量に発生させようとしている場合は、ポータルのログインページでドメインリストを非表示にして、攻撃者がアプライアンスで使用可能なドメインを取得できないようにして、攻撃対象領域と成功率を減らすことをお勧めします。
ポータル > ポータルで、各ポータルの設定画面で ポータルログインページのドメインリストを非表示にする を有効にします。
その他の可能な手順
- 攻撃の送信元IPを確認し、ボットネットポリシーに手動で追加して拒否します。
(1) SMAの管理GUIで地域IPとボットネットフィルタ > ポリシーに移動します。
(2) ボットネットポリシーの追加 をクリックします。
(3) ポリシーの適用先 でIPアドレスを指定します。IPネットワークを指定することも可能です。
(4) IPアドレスに攻撃者のIPアドレスを入力します。
(5) 動作 を 拒否 に設定します。
- SMA100装置の上位(インターネット側)に設置されたファイアウォールを攻撃フィルタとして使用し、SMAに到着する未承諾/不要な要求の量を減らします。
- 上位のファイアウォールがSonicWall製品の場合のDDoS攻撃を軽減するための設定については以下の情報を確認ください。
(追加情報) 追加の攻撃防御の機能
注意: ここに記載された情報は、バージョン10.2.1.12で実装された新機能です。
システム > 管理 のHTTP DoS 設定 セクションに以下のオプションを追加します。
連続ログイン失敗時に送信元 IP を遮断する: 連続してログインに失敗する発信元IPアドレスをブロックする機能を有効または無効にします。デフォルト値は有効です。このオプションを無効にすると、すべてのブロックされた IP アドレスが解除され、アプライアンスへのアクセスが許可されます。
最大連続ログイン失敗数: 連続ログイン失敗の回数を設定します。有効範囲は 5 から 300 で、デフォルト値は 30 です。連続ログイン失敗の回数が制限値に達すると、ポリシーが適用され、このソースIPからのアクセスがブロックされます。
遮断期間 (分): 送信元 IP がブロックされている間のロック時間を設定します。有効範囲は 1 分から 300 分で、デフォルト値は 10 分です。時間が経過すると、送信元 IP アドレスのブロックが解除され、アプライアンスへのアクセスが許可されます。
それでも他の行動や症状がある場合は、TSRを準備の上SonicWallテクニカルサポートにお問い合わせください。テクニカルサポートへのお問い合わせ方法は、こちらをご参照ください。
Related Articles
Categories
Was This Article Helpful?
YESNO