Configuring TCP Intercept(2回目)

はじめに

今回はTCP Interceptの設定についてお勉強します。

Enabling TCP Intercept

TCP Interceptを設定するには、以下のコマンドを実行します。

Step1
Router# conf t

まず、Global Configuration Modeに移ります。

Step2
Router(config)# ip access-list extended acl-name

Interceptする条件を設定します。ここではNamed ACLを使用していますが、
Numbered ACLでも構いません。

Step3
Router(config)# ip tcp intercept list acl-name

TCP Interceptを有効にします。ACLにmatchするトラフィックがInterceptの対
象になります。

Step4
Router(config)# end

以上で設定は終了です。

Setting the TCP Intercept Mode

TCP Interceptの2つのModeであるIntercept ModeかWatch Modeを設定します。
どちらか一方のModeでしか動作できません。デフォルトはIntercept Modeです。

Step1
Router# conf t

まず、Global Configuration Modeに移ります。

Step2
Router(config)# ip tcp intercept mode {intercept | watch}

設定するModeを選びます。

Step3
Router(config)# end

以上で設定は終了です。

Changing the TCP Intercept Aggressive Thresholds

TCP Intercept は2つの閾値を使って、より積極的なコネクション破棄の動作
を行うことができます。の2つの閾値は

-ハーフオープンコネクションの合計値
-1分あたりのコネクション要求

この2つの閾値のどちらか一方があらかじめ設定された値を上回ると、ルータ
はTCP SYN Attackが発生していると判断しAggressiveModeに入ります。

Aggressive Modeでは以下のことが起こります。

-新しいコネクションができるたびに、古いコネクションから削除されます。これは後述しますが、設定で変えることができます。
-Intercept Modeの場合、initial retransmission timeout値を半分にします。
-Watch Modeの場合、サーバにRSTを送るまでのtimeout値を半分にします。

Aggressive Modeになる閾値の設定は以下のようにします。

Step1
Router# conf t

まず、Global Configuration Modeに移ります。

Step2
Router(config)# ip tcp intercept max-incomplete high number

numberにハーフオープンコネクションの上限値を指定します。この値を超える
とAggressive Modeになります。デフォルト値は1100です。

Step3
Router(config)# ip tcp intercept max-incomplete low number

numberにハーフオープンコネクション下限値を指定します。この値を下回ると
通常の状態に戻ります。デフォルト値は900です。

Step4
Router(config)# ip tcp intercept one-minute high number

numberに1分間のコネクション要求数の上限値を指定します。この値を超える
とAggressive Modeになります。デフォルト値はハーフオープンコネクション
の数と同じ1100です。

Step5
Router(config)# ip tcp intercept one-minute low number

numberに1分間のコネクション要求数の下限値を指定します。この値を下回る
と通常の状態に戻ります。デフォルト値はハーフオープンコネクションの数と
同じ900です。

Step6
Router(config)# end

以上でAggressive Modeの閾値の設定は終了です。

Setting the TCP Intercept Drop Mode

Aggressive Modeでのコネクション削除の方法を変えることができます。デフ
ォルトではコネクションの古い順から消去されます。

Step1
Router# conf t

まず、Global Configuration Modeに移ります。

Step2
Router(config)# ip tcp intercept drop-mode {oldest | random}

コネクションの削除の方法を指定します。

Step3
Router(config)# end

以上で設定は終了です。

Changing the TCP Intercept Timer

TCP Interceptで使用されるTimerには以下の3つがあります。

-Watch Timer
-Connection Reset Timer
-Connection Idle Timer

Watch TimerはWatch ModeでクライアントからACKが返ってくるまでのTimerで
す。デフォルトは30秒で、30秒の間にACKが返ってこなければルータはサーバ
に対してRSTを投げます。

Connection Reset Timerは、ルータはクライアントとサーバ間のコネクション
を管理していて、クライアントからFINやRSTが飛んで来てコネクションが終了
したあと、そのコネクションの管理をやめるまでの時間です。デフォルトは5
秒です。

Connection Idle Timerは、クライアントとサーバのコネクションがアイドル
状態になってから、どのくらいの時間そのコネクションをルータが管理するか
のTimerです。デフォルトは24時間で、24時間以上、そのコネクションで通信
が発生しなければ、ルータはそのコネクションの管理をやめます。

各Timerの設定は以下のとおりです。

Step1
Router# conf t

まず、Global Configuration Modeに移ります。

Step2
Router(config)# ip tcp intercept watch-timeout seconds

Watch Timerを指定します。

Step3
Router(config)# ip tcp intercept finrst-timeout seconds

Connection Reset Timerを指定します。

Step4
Router(config)# ip tcp intercept connection-timeout seconds

Connection Idle Timerを指定します

Step5
Router(config)# end

以上で設定は終了です。

次回からは設定例や練習問題をとりあげます。

By 『Overseas and Beyond』 Koichi

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA