この部分の広告を募集しています。 詳しくはこちら

TCP Interceptの設定

(所属カテゴリー:シスコ | ネットワークセキュリティ---投稿日時:2014年4月 4日)

ネットワーク構成

tcp_intercept01.png
図 TCP Interceptネットワーク構成

設定条件

  • R2に対してTCP Synfloodの攻撃が行われています。R1でTCP Synfloodの攻撃を防止してください。
  • TCPコネクションを監視して、ハーフコネクションが30を超えると古いものから切断するようにしてください。

初期設定

  • R1/R2/R3
    ホスト名
    IPアドレス
    ルーティングプロトコル OSPF エリア0

R1

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
interface Loopback0
 ip address 192.168.0.1 255.255.255.255
!
interface Ethernet0/0
 ip address 192.168.12.1 255.255.255.0
!
interface Ethernet0/1
 ip address 192.168.13.1 255.255.255.0
!
router ospf 1
 log-adjacency-changes
 network 192.168.0.0 0.0.255.255 area 0
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

R2

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
interface Loopback0
 ip address 192.168.0.2 255.255.255.255
!
interface Ethernet0/0
 ip address 192.168.12.2 255.255.255.0
!
interface Ethernet0/1
 ip address 192.168.2.2 255.255.255.0
!
router ospf 1
 log-adjacency-changes
 network 192.168.0.0 0.0.255.255 area 0
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

R3

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
interface Loopback0
 ip address 192.168.0.3 255.255.255.255
!
interface Ethernet0/0
 ip address 192.168.13.3 255.255.255.0
!
interface Ethernet0/1
 ip address 192.168.3.3 255.255.255.0
!
router ospf 1
 log-adjacency-changes
 network 192.168.0.0 0.0.255.255 area 0
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

GNS3プロジェクトダウンロード(MM_1254_TCP_Intercept_init.zip)

設定

【Step1:TCPインターセプトの設定】

TCPインターセプトは、TCP Syn FloodのDoS攻撃を防止するための機能です。ルータを通過するTCPコネクションをチェックして、正しくTCPコネクションを確立しているかどうかを確認します。

tcp_intercept02.png
図 TCPインターセプトの概要

TCPインターセプトの動作モードとして、以下の2つあります。

  • インターセプトモード
  • ウォッチモード
インターセプトモードは、ルータがTCPコネクションのプロキシとして動作します。そして、ハーフコネクションの数が設定されているしきい値を超えるとハーフコネクションを切断します。デフォルトはインターセプトモードです。
ウォッチモードはTCPコネクションの確立を監視して、一定時間内に確立されていないTCPコネクションを切断します。デフォルトは30秒以内に確立されなかったTCPコネクションを切断します。

TCPインターセプトを有効化するには、グローバルコンフィグレーションモードで次のコマンドを利用します。

(config)#ip tcp intercept list

ACLでpermitされたパケットがTCPインターセプトの対象です。そして、モードとコネクションの切断方法の設定は、以下のコマンドです。

(config)#ip tcp intercept mode {intercept|watch}
デフォルト:intercept

(config)#ip tcp intercept drop-mode {random|oldest}
デフォルト:oldest

インターセプトモードにおけるしきい値は、以下のコマンドで設定します。

(config)#ip tcp intercept max-incomplete high
(config)#ip tcp intercept max-incomplete low

:アグレッシブモードに移行するしきい値。デフォルト1100
:アグレッシブモードを解除するしきい値。デフォルト900

R1での設定は以下のとおりです。

R1

----------------------------------------------
ip tcp intercept list 100
ip tcp intercept max-incomplete high 30
!
access-list 100 permit tcp any host 192.168.0.2
access-list 100 permit tcp any host 192.168.12.2
access-list 100 permit tcp any host 192.168.2.2
----------------------------------------------

【Step2:TCPインターセプトの確認】

TCPインターセプトの動作を確認するために、R1を通過するR2へのTCP通信を開始します。R3から192.168.0.2へTelnetし、R11でshow tcp intercept connections、show tcp intercept statisticsコマンドを確認します。

R1

----------------------------------------------
R1#show tcp intercept connections
Incomplete:
Client                Server                State    Create   Timeout  Mode

Established:
Client                Server                State    Create   Timeout  Mode
192.168.13.3:45705    192.168.0.2:23        ESTAB    00:00:04 23:59:56 I
R1#show tcp intercept connections
Incomplete:
Client                Server                State    Create   Timeout  Mode

Established:
Client                Server                State    Create   Timeout  Mode
192.168.13.3:45705    192.168.0.2:23        ESTAB    00:00:20 23:59:39 I
----------------------------------------------

GNS3プロジェクトダウンロード(MM_1254_TCP_Intercept_comp.zip)

Google
Web n-study.com

各コンテンツの最新記事

有料コンテンツライブラリ(ITエンジニア教育資料)

ネットワーク技術雑誌レビュー

ベンダ資格受験記

オススメ!ネットワーク技術雑誌・書籍

MindMapでおべんきょ

結果を出せるコーチング

Geneのつぶやき

The Power of Words

スポンサードリンク

スポンサードリンク