VMware SD-WAN は、さまざまな攻撃を検出して保護し、実行中のすべての段階で悪用されないようにします。

エンタープライズ ネットワークでのすべての接続試行を保護するために、 VMware SD-WAN Orchestrator では、次のタイプの攻撃から保護するために、プロファイルと Edge レベルでネットワークおよびフラッド防止を設定できます。
  • サービス拒否 (DoS) 攻撃
  • TCP ベースの攻撃:無効な TCP フラグ、TCP ランド、TCP SYN フラグメント
  • ICMP ベースの攻撃:ICMP Ping of Death および ICMP フラグメント
  • IP アドレス ベースの攻撃 - 不明の IP プロトコル、IP オプション、不明の IPv6 プロトコル、および IPv6 拡張ヘッダー
[サービス拒否 (DoS) 攻撃]

サービス拒否 (DoS) 攻撃とは、大量の偽のトラフィックでターゲット デバイスを圧倒する一種のネットワーク セキュリティ攻撃です。これにより、正当なトラフィックを処理できないほど偽のトラフィックを処理することにターゲットが集中することになります。ターゲットには、ファイアウォール、ファイアウォールがアクセスを制御するネットワーク リソース、または個々のホストの特定のハードウェア プラットフォームやオペレーティング システムが対象になります。DoS 攻撃では、ターゲット デバイスのリソースの枯渇を試行します。これにより、ターゲット デバイスを正規ユーザーが使用できなくなります。

DoS 攻撃には、フラッディング サービスとクラッシュ サービスの 2 つの一般的な手法があります。フラッド攻撃は、サーバがバッファリングする受信トラフィックが多すぎるために発生します。これにより、処理速度が低下し、最終的に停止します。その他の DoS 攻撃は、単にターゲット システムまたはサービスがクラッシュする原因となる脆弱性を悪用します。これらの攻撃では、ターゲットのバグを悪用する入力が送信されます。それ以降、クラッシュが発生したり、システムが不安定になります。

[無効な TCP フラグ]
TCP パケットに不正または無効なフラグの組み合わせが含まれていると、無効な TCP フラグ攻撃が発生します。TCP フラグの組み合わせが無効なため、脆弱なターゲット デバイスがクラッシュします。そのため、フィルタを適用することをお勧めします。無効な TCP フラグに対する保護は次のものを検出してブロックします。
  • SYN、FIN、ACK などの TCP ヘッダーにフラグが設定されていないパケット
  • 相互排他的なフラグである、SYN および FIN フラグを組み合わせた TCP ヘッダー
[TCP ランド]

ランド攻撃とは、レイヤー 4 の DoS 攻撃であり、送信元 IP アドレスとポートが宛先 IP アドレスとポートと同じになるように TCP SYN パケットが作成されます。宛先ポートは、ターゲット デバイス上で開いているポートを指すように設定されます。攻撃を受けやすいターゲット デバイスは、該当のメッセージを受信し、宛先アドレスに対して応答します。これにより、パケットは事実上無限ループでの再処理に送信されます。そのため、デバイスの CPU 使用率が無期限に消費され、脆弱なターゲット デバイスがクラッシュまたはフリーズします。

[TCP SYN フラグメント]

インターネット プロトコル (IP) は、伝送制御プロトコル (TCP) SYN セグメントを IP パケットにカプセル化して TCP 接続を開始し、応答で SYN/ACK セグメントを呼び出します。IP パケットは小規模なので、断片化する正当な理由はありません。断片化された SYN パケットは異常であり、疑わしいものとなります。TCP SYN フラグメント攻撃では、ターゲット サーバまたはホストは TCP SYN パケットのフラグメントでフラッディングします。ホストはフラグメントを検出し、それらを再構築するために、残りのパケットが到達するまで待機します。完了できない接続を使用してサーバまたはホストをフラッディングさせることにより、ホストのメモリ バッファがオーバーフローして、それ以降の正当な接続ができなくなり、ターゲット ホストのオペレーティング システムが破損する可能性があります。

[ICMP Ping of Death]

ICMP(インターネット制御メッセージ プロトコル)Ping of Death 攻撃では、攻撃者は複数の不正な、または悪意のある ping をターゲット デバイスに送信します。ping パケットは通常小規模で、ネットワーク ホストの到達可能性を確認するために使用されますが、攻撃者が精巧に作り上げることによってそれらのパケットは最大サイズの 65535 バイトよりも大きなパケットになる可能性があります。

悪意のある大きなパケットが悪意のあるホストから送信されると、パケットは転送中に断片化されます。ターゲット デバイスが IP フラグメントを完全なパケットに再構築しようとすると、合計サイズが最大値を超えます。これにより、パケットに最初に割り当てられたメモリ バッファがオーバーフローし、該当の大きなパケットを処理できないため、システムのクラッシュやフリーズまたは再起動が発生する可能性があります。

[ICMP フラグメント]

ICMP フラグメント攻撃は、ターゲット サーバでのデフラグができない不正な ICMP フラグメントのフラッディングを伴う、一般的な DoS 攻撃です。すべてのフラグメントが受信された場合にのみ、デフラグが実行されるため、このような偽のフラグメントの一時ストレージはメモリを消費し、脆弱なターゲット サーバの使用可能なメモリ リソースを枯渇させ、サーバが使用不能になる可能性があります。

[不明の IP プロトコル]

不明の IP プロトコルに対する保護を有効にすることで、プロトコル ID 番号が 143 以上のプロトコル フィールドを含む IP パケットがブロックされます。これは、エンド デバイスで正しく処理されない場合にクラッシュする可能性があるためです。慎重な対策として、このような IP パケットが保護されたネットワークに入るのをブロックすることが必要です。

[IP オプション]

攻撃者は、IP パケット内の IP オプション フィールドを不正確に設定し、不完全または不正なフィールドを生成することがあります。攻撃者は、これらの不正なパケットを使用して、ネットワーク上の脆弱なホストを侵害します。脆弱性が悪用されると、任意のコードを実行できる可能性があります。この脆弱性は、パケットの IP ヘッダーにある特定の細工された IP オプションを含むパケットを処理した後に、悪用される可能性があります。安全性の低い IP オプションに対する保護を有効にすると、IP パケット ヘッダーに不正な IP オプション フィールドを含む IP パケットの中継がブロックされます。

[不明の IPv6 プロトコル]

不明の IPv6 プロトコルに対する保護を有効にすることで、プロトコル ID 番号が 143 以上のプロトコル フィールドを含む IPv6 パケットがブロックされます。このような IPv6 パケットがエンド デバイスで正しく処理されないと、クラッシュする可能性があるためです。慎重な対策として、このような IPv6 パケットが保護されたネットワークに入るのをブロックすることが必要です。

[IPv6 拡張ヘッダー]

IPv6 拡張ヘッダー攻撃は、IPv6 パケット内の拡張ヘッダーの誤った処理が原因で発生する DoS 攻撃です。IPv6 拡張ヘッダーを誤って処理すると、DoS につながる可能性のある新しい攻撃ベクトルが作成され、隠れチャネルの作成やルーティング ヘッダー 0 攻撃など、さまざまな目的で悪用される可能性があります。このオプションを有効にすると、断片化ヘッダーを除く拡張ヘッダーを含む IPv6 パケットがドロップされます。

[ネットワークおよびフラッド防止設定]

プロファイル レベルでネットワークおよびフラッド防止設定を行うには、次の手順を実行します。

手順

  1. SD-WAN Orchestrator から、[設定 (Configure)] > [プロファイル (Profiles)] > [ファイアウォール (Firewall)] の順に移動します。
  2. 選択したプロファイルの [ステートフル ファイアウォール (Stateful Firewall)] を有効にします。
  3. [ネットワークおよびフラッド防止設定 (Network & Flood Protection Settings)] 領域で、次の設定を行います。
    デフォルトでは、IPv4 アドレスにネットワークおよびフラッド防止設定が適用されます。
    注: IPv6 アドレスのネットワークおよびフラッド防止設定を行う場合は、新しい Orchestrator UI を使用する必要があります。詳細については、 新しい Orchestrator UI を使用したファイアウォールの設定を参照してください。
    フィールド 説明
    新規接続のしきい値(1 秒あたりの接続数)(New Connection Threshold (connections per second)) 1 つの送信元 IP アドレスから 1 秒あたりに許可される新しい接続の最大数許容値の範囲は 10 ~ 100% です。デフォルト値は 25% です。
    拒否リスト (Denylist) ネットワークの不正な設定または悪意のあるユーザー攻撃により、フラッド トラフィックを送信することで新しい接続のしきい値に違反することになる送信元 IP アドレスをブロックするには、このチェックボックスをオンにします。
    注: [新規接続のしきい値 (1 秒あたりの接続数) (New Connection Threshold (connections per second))] 設定は、 [拒否リスト (Denylist)] が有効でない場合は機能しません。
    検出期間(秒)(Detect Duration (seconds)) 送信元 IP アドレスをブロックする前に、違反している送信元 IP アドレスがトラフィック フローの送信を許可される猶予期間です。

    ホストが新しい接続要求(ポート スキャン、TCP SYN フラッドなど)のフラッド トラフィックをこの期間の秒間最大許容接続数 (CPS) を超えて送信した場合、送信元あたりの CPS の数が一度超えてもすぐには拒否リストが実施されることはなく、代わりに拒否リスト実施の対象として認識されます。たとえば、検出期間が 10 秒で、この期間の秒間最大許容接続数 (CPS) が 10 であると想定すると、10 秒の間にホストがフラッドする新しい接続要求数が 100 を超えた場合、ホストには拒否リストが実施されます。

    許容値の範囲は 10 ~ 100 秒です。デフォルト値は 10 秒です。
    拒否リスト期間(秒)(Denylist Duration (seconds)) 違反した送信元 IP アドレスがパケットの送信をブロックされる期間。許容値の範囲は 10 ~ 86,400 秒です。デフォルト値は 10 秒です。
    TCP ベースの攻撃 (TCP Based Attacks) 次の TCP ベースの攻撃からの保護をサポートします。該当のチェックボックスをオンにしてください。
    • 無効な TCP フラグ (Invalid TCP Flags)
    • TCP ランド
    • TCP SYN フラグメント (TCP SYN Fragment)
    ICMP ベースの攻撃 (ICMP Based Attacks) 次の ICMP ベースの攻撃からの保護をサポートします。該当のチェックボックスをオンにしてください。
    • ICMP Ping of Death
    • ICMP フラグメント (ICMP Fragment)
    IP アドレス ベースの攻撃 (IP Based Attacks) 次の IP ベースの攻撃からの保護をサポートします。該当のチェックボックスをオンにしてください。
    • 不明の IP プロトコル (IP Unknown Protocol)
    • 安全性の低い IP オプション (IP Insecure Options)
    • 不明の IPv6 プロトコル
    • IPv6 拡張ヘッダー
    オプションで、Edge レベルでネットワークおよびフラッド防止設定をオーバーライドすることもできます。詳細については、 Edge の NetFlow の設定を参照してください。