2.28. 不正アクセス検知(IDS)の設定

不正アクセス検知(IDS:Intrusion Detection System)機能は、不正なパケット受信を検知する機能です。

注意

IPv4のみサポートとなります。IPv6はサポートしていません。

2.28.1. 不正アクセス検知条件

本機能では、パケット受信時に以下の条件で不正アクセスの検知を行います。

不正アクセス検知はIPヘッダ、IPオプション、ICMP、UDP、TCP、FTPの6種類のタイプに分類されます。

タイプ
イベント
ログ番号

名称

内容

IPヘッダ

ids - 001〇

Short header
IPヘッダ長が20バイト未満
(何らかのids ip typeコマンドが設定されている
場合、このイベントは必ず検知されます。)

ids - 002〇

Malformed packet
IPパケットの構造が不正
(何らかのids ip typeコマンドが設定されている
場合、このイベントは必ず検知されます。)

ids - 003

Unknown protocol

プロトコル領域の値が143以上

ids - 004

Land attack

送信元IPアドレスと宛先IPアドレスが同じ

ids - 005

Localhost source spoof

送信元IPアドレスが127.0.0.1

ids - 006

Broadcast source address

送信元IPアドレスが255.255.255.255

ids - 007

Multicast source address

送信元IPアドレスがマルチキャストアドレス
IPオプション
ヘッダ

ids - 051〇

Malformed option packet

オプションヘッダの構造が不正

ids - 052
Security and handling
restriction header

Security and handling restriction headerを受信

ids - 053

Loose source routing header

Loose source routing headerを受信

ids - 054

Internet timestamp header

Internet timestamp headerを受信

ids - 055

Record route header

Record route headerを受信

ids - 056

Stream identifier header

Stream identifier headerを受信

ids - 057

Strict source routing header

Strict source routing headerを受信

ICMP

ids - 101〇

Short header

ICMPヘッダ長が4バイト未満

ids - 102

Source quench

Source quenchを受信

ids - 103

Timestamp request

Timestamp requestを受信

ids - 104

Timestamp reply

Timestamp replyを受信

ids - 105

Information request

Information requestを受信

ids - 106

Information reply

Information replyを受信

ids - 107

Address mask request

Address mask requestを受信

ids - 108

Address mask reply

Address mask replyを受信

ids - 109

Too large

1025バイト以上のICMPを受信

ids - 110

Ping of death attack

Ping of death attackを受信

UDP

ids - 151〇

Short header

UDPヘッダ長が8バイト未満

ids - 152

UDP bomb

UDPパケットの構造が不正

TCP

ids - 201〇

Short header
TCPヘッダ長が20バイト未満
(FTPが設定されている場合、有効となります)

ids - 202

No bits set

フラグに何もセットされていない

ids - 203

SYN and FIN

SYNとFINが同時にセット

ids - 204

FIN and no ACK

ACKのないFINを受信

FTP

ids - 251

Improper port

不正なデータ通信用ポートを指定

注釈

「イベントログ番号」欄に"〇"が付記されているイベントの検知が有効な場合に、「一部パケットの強制廃棄」コマンドが設定されていると、当該イベントが検出されたパケットは強制的に廃棄されます。
(個別のids ip typeコマンド設定より優先されます)

注釈

不正パケット検知の有無、およびイベントを検知したパケットの廃棄の有無はタイプ毎に設定できます。

注釈

フラグメントパケットはリアセンブル前のパケットに対してIPヘッダ、IPオプションのみチェックを行います。
リアセンブル後のパケットに対してのチェックは行いません。

注釈

IDS機能を有効にすると転送性能が低下する可能性があります。

不正パケット検知時の動作は以下になります。

  • 検知のみ・廃棄(タイプ毎にどちらかを選択)

    • 検知のみの場合は、同一タイプの他のイベントの検知は行わず、次のタイプの検知を行います。
      ただし、ids - 001、ids - 002、ids - 201のイベントは、検知のみの場合でも以降の検知は行いません。

    • 廃棄の場合は、以降のイベントの検知は行いません。

  • syslogの出力 (IDSとしてsyslog出力を設定)

    • syslog機能利用により外部への通知ができます。

  • 統計情報のカウント

syslogの出力例は以下のとおりです。

リスト 2.28.1 出力例
プロトコル領域が143以上
ids - 003 - [IP] Unknown protocol packet was detected (protocol 180) 10.44.20.139 > 192.168.160.105, GigaEthernet0.0

2.28.2. 不正アクセス検知条件の設定

設定は以下のとおりです。

項目

説明

ids ip type

IDS機能の有効化

ids ip implied-discard

一部イベントの強制廃棄

show ids statistics

IDS統計情報の表示
リスト 2.28.2 設定例 (すべての条件を検知し、syslogに出力を行う)
syslog enable 131072
syslog function ids warn

ids ip type all action detect
リスト 2.28.3 設定例 (IPヘッダとICMPのみ検知して廃棄する、検知時にsyslogに出力を行う)
syslog ip host 192.168.0.100
syslog enable 131072
syslog function ids warn

ids ip type ip-header action discard
ids ip type icmp action discard

イベント検知後、一定時間内に同一番号のイベントが検知された場合、syslogの出力を抑止することができます。

これにより、syslogの出力による負荷を軽減することができます。syslogを抑止した場合でも、イベントの検知は行います。

項目

説明

ids logging-interval

重複した検知ログの抑止設定
リスト 2.28.4 設定例 (60秒間に同じイベントが発生した場合にログの出力を抑制)
syslog enable 131072
syslog function ids warn

ids ip type all action discard
ids logging-interval 60
../_images/20-2_ids1.svg

図 2.28.1 検知ログ抑止動作

注釈

clear ids statistics実行時に、抑止の経過時間はクリアされます。