ポートと IP アドレス スキャンの詳細
攻撃者は、ネットワーク攻撃を起動するための開始点として通常オープン ポートを検索しています。ポート スキャン は、ポートの範囲に送信される TCP または UDP トラフィックです。これらのポートは、0 から 65535 までの一連のポートまたはランダムなポートです。IP スキャンは、ネットワーク アドレスの範囲に送信される TCP または UDP トラフィックです。ポート スキャンはコンピュータを調査し、そのホストが使用するサービスを特定します。IP アドレス スキャンではネットワークを調査し、そのネットワークに存在するネットワーク デバイスを特定します。
ポートの詳細について、次を参照してください ポートについて。
Firebox がネットワーク スキャンを認識する方法
外部ネットワーク上のコンピュータが Firebox の外部インターフェイスに割り当てられている異なる IP アドレスに指定されたパケットの数を送信する場合、IP アドレス空間スキャンが識別されます。ポート スキャンを識別するには、Firebox が 1 つの IP アドレスからすべての Firebox インターフェイス IP アドレスに送信されたパケットの数を計算します。アドレスには、インターフェイスで構成されたプライマリ IP アドレスおよびセカンダリ IP アドレスを含めることができます。1 秒間に異なる IP アドレスまたは送信先ポートに送信されたパケット数が、設定したパケット数より大きい場合、ブロックされたサイトのリストに発信元 IP アドレスが追加されます。
ブロック ポートのスキャン、IP スキャンを阻止、または 未処理の外部パケットのソース IP の自動ブロック のチェックボックスが選択されている場合、すべてのインバウンド トラフィックが Firebox によって検査されます。指定されたIPアドレス、指定されたFireboxインターフェイス、または異なる時限のためにこれらの機能を無効にすることはできません。
ポート スキャンおよび IP アドレス スキャンに対する保護
Firebox の既定の構成では、ネットワーク スキャンがブロックされます。この機能の設定および、発信元 IP アドレスごとに 1 秒間に許可する最大のアドレスまたはポート スキャンの数を変更することができます (既定値は 10 です)。
1 秒当たりに許可するアドレス スキャンまたはポート スキャンの最大数のしきい値を下限値に設定して、より迅速に攻撃者をブロックすることができます。ただし、この数字を低く設定しすぎると、Firebox が正当なネットワーク トラフィックを攻撃として識別し、トラフィックを拒否してしまう可能性があります。高い数値に設定すると、正当なネットワークトラフィックを拒否する可能性が少なくなりますが、Firebox は接続が切断されるたびに TCP リセットパケットを送信する必要があります。この場合、Firebox の帯域幅またはリソースを使用して、攻撃者にファイアウォールの情報を提供します。
- ファイアウォール > 既定のパケット処理 の順に選択します。
既定のパケット処理 ページが表示されます。
- ポート スキャンをブロックする と IP スキャンをブロックする チェックボックスをオンまたはオフにします。
- アドレスの最大数または同じ IP アドレスから 1 秒あたりに許可するポート スキャンを入力してください。各アドレス プローブまたはポート プローブの既定は 10 プローブ/秒です。これは、1 秒以内に 10 つの異なるポートまたはホストへの接続が開始された場合、ソースがブロックされることを意味します。
- 保存 をクリックします。
ネットワーク ポートプローブを防御するために、Policy Manager から以下の手順を実行します:
-
をクリックします。
または、設定 > 既定の脅威防止 > 既定のパケット処理 の順に選択します。
既定のパケット処理 ダイアログ ボックスが表示されます。
- ポート スキャンをブロックする と IP スキャンをブロックする チェックボックスをオンまたはオフにします。
- 矢印をクリックして、 同じ IP アドレスから 1 秒あたりに許可するアドレス プローブまたはポート スキャンの最大数を選択します。各アドレス プローブまたはポート プローブの既定は 10 プローブ/秒です。これは、1 秒以内に 10 つの異なるポートまたはホストへの接続が開始された場合、ソースがブロックされることを意味します。
- OK をクリックします。