はじめに
今回はTCP Interceptの設定についてお勉強します。
Enabling TCP Intercept
TCP Interceptを設定するには、以下のコマンドを実行します。
Step1
Router# conf t
まず、Global Configuration Modeに移ります。
Step2
Router(config)# ip access-list extended acl-name
Interceptする条件を設定します。ここではNamed ACLを使用していますが、 Numbered ACLでも構いません。
Step3
Router(config)# ip tcp intercept list acl-name
TCP Interceptを有効にします。ACLにmatchするトラフィックがInterceptの対 象になります。
Step4
Router(config)# end
以上で設定は終了です。
Setting the TCP Intercept Mode
TCP Interceptの2つのModeであるIntercept ModeかWatch Modeを設定します。 どちらか一方のModeでしか動作できません。デフォルトはIntercept Modeです。
Step1
Router# conf t
まず、Global Configuration Modeに移ります。
Step2
Router(config)# ip tcp intercept mode {intercept | watch}
設定するModeを選びます。
Step3
Router(config)# end
以上で設定は終了です。
Changing the TCP Intercept Aggressive Thresholds
TCP Intercept は2つの閾値を使って、より積極的なコネクション破棄の動作 を行うことができます。の2つの閾値は
-ハーフオープンコネクションの合計値
-1分あたりのコネクション要求
この2つの閾値のどちらか一方があらかじめ設定された値を上回ると、ルータ はTCP SYN Attackが発生していると判断しAggressiveModeに入ります。
Aggressive Modeでは以下のことが起こります。
-新しいコネクションができるたびに、古いコネクションから削除されます。これは後述しますが、設定で変えることができます。
-Intercept Modeの場合、initial retransmission timeout値を半分にします。
-Watch Modeの場合、サーバにRSTを送るまでのtimeout値を半分にします。
Aggressive Modeになる閾値の設定は以下のようにします。
Step1
Router# conf t
まず、Global Configuration Modeに移ります。
Step2
Router(config)# ip tcp intercept max-incomplete high number
numberにハーフオープンコネクションの上限値を指定します。この値を超える とAggressive Modeになります。デフォルト値は1100です。
Step3
Router(config)# ip tcp intercept max-incomplete low number
numberにハーフオープンコネクション下限値を指定します。この値を下回ると 通常の状態に戻ります。デフォルト値は900です。
Step4
Router(config)# ip tcp intercept one-minute high number
numberに1分間のコネクション要求数の上限値を指定します。この値を超える とAggressive Modeになります。デフォルト値はハーフオープンコネクション の数と同じ1100です。
Step5
Router(config)# ip tcp intercept one-minute low number
numberに1分間のコネクション要求数の下限値を指定します。この値を下回る と通常の状態に戻ります。デフォルト値はハーフオープンコネクションの数と 同じ900です。
Step6
Router(config)# end
以上でAggressive Modeの閾値の設定は終了です。
Setting the TCP Intercept Drop Mode
Aggressive Modeでのコネクション削除の方法を変えることができます。デフ ォルトではコネクションの古い順から消去されます。
Step1
Router# conf t
まず、Global Configuration Modeに移ります。
Step2
Router(config)# ip tcp intercept drop-mode {oldest | random}
コネクションの削除の方法を指定します。
Step3
Router(config)# end
以上で設定は終了です。
Changing the TCP Intercept Timer
TCP Interceptで使用されるTimerには以下の3つがあります。
-Watch Timer
-Connection Reset Timer
-Connection Idle Timer
Watch TimerはWatch ModeでクライアントからACKが返ってくるまでのTimerで す。デフォルトは30秒で、30秒の間にACKが返ってこなければルータはサーバ に対してRSTを投げます。
Connection Reset Timerは、ルータはクライアントとサーバ間のコネクション を管理していて、クライアントからFINやRSTが飛んで来てコネクションが終了 したあと、そのコネクションの管理をやめるまでの時間です。デフォルトは5 秒です。
Connection Idle Timerは、クライアントとサーバのコネクションがアイドル 状態になってから、どのくらいの時間そのコネクションをルータが管理するか のTimerです。デフォルトは24時間で、24時間以上、そのコネクションで通信 が発生しなければ、ルータはそのコネクションの管理をやめます。
各Timerの設定は以下のとおりです。
Step1
Router# conf t
まず、Global Configuration Modeに移ります。
Step2
Router(config)# ip tcp intercept watch-timeout seconds
Watch Timerを指定します。
Step3
Router(config)# ip tcp intercept finrst-timeout seconds
Connection Reset Timerを指定します。
Step4
Router(config)# ip tcp intercept connection-timeout seconds
Connection Idle Timerを指定します
Step5
Router(config)# end
以上で設定は終了です。
次回からは設定例や練習問題をとりあげます。
By 『Overseas and Beyond』 Koichi
