【Paloalt】Zone ProtectionとDoS Protectionについて

はじめに

Zone Protection機能とDos Protection機能がいまいち分かっていなかったので
整理してみた。

2018/6/22時点
software version8.1.1で検証

Zone Protection

• フラッド攻撃の検知、緩和、防御
• ポートスキャンの検知、防御
• IPパケットベースの攻撃の防御

フラッド攻撃に関して、Aggregateのみとなる。
Aggregateは全パケット(IPアドレス)が閾値を超えたかどうか判断する。
つまり、Aさんがフラッド攻撃を仕掛けると、Bさんまで影響する。

閾値

• アラームレート　アラートを発生する閾値
• アクティベート　アクションを実行する閾値
• 最大値　閾値を超えるとパケットドロップ

アクション

• Random Early Drop ランダムなパケットをドロップさせる
• SYN Cookie　シーケンス番号をチェック？（イマイチ分かってません）

UDPやICMPはRandom Early Drop

ログ

• モニターの脅威の項目でアラートは確認可能（送信元、宛先IPアドレスは表示されない）
• ゾーン設定のログ転送にプロファイルを指定しておけばログ転送可能

SYSLOG出力例

10.1.0.4 :  <10>Jun 22 11:18:16 palodemo1 1,2018/06/22 11:18:15,641677CECF2C2F6,THREAT,flood,2049,2018/06/22 11:18:15,0.0.0.0,0.0.0.0,0.0.0.0,0.0.0.0,,,,not-applicable,vsys1,Untrust,Untrust,,,test,2018/06/22 11:18:15,0,1,0,0,0,0,0x102000,icmp,random-drop,"",ICMP Flood(8503),any,critical,client-to-server,54,0x2000000000000000,0.0.0.0-0.255.255.255,0.0.0.0-0.255.255.255,0,,0,,,0,,,,,,,,0,0,0,0,0,,palodemo1,,,,,0,,0,,N/A,flood,AppThreat-0-0,0x0,0,4294967295,

Dos Protection

• フラッド攻撃の検知、防御
• ポリシーベースでルールに適用する

プロファイル

• タイプはClassifiedとAggregateを選択可能
• 基本的にZone Protectionの内容と同じだがブロック期間が存在する
• ブロック期間(default 300秒 MAX 21600(36時間))

Classifiedは、個々の送信元IPアドレスに対して閾値を設定する
つまり、送信元Aが閾値を超えたとしても、送信元Bには影響しない

DoSポリシー

• 書き方はセキュリティルールと同じ
• アクションの拒否、許可は無視していい（セキュリティルールと同じ意味合い）
• アクションで保護を選択すれば、プロファイルで定義された閾値が適用される

ログ

• DoSポリシーのログ転送に設定しておけばログ転送可能
• ログの表示は、Classifiedで追跡するタイプ（送信元IPアドレス、宛先IPアドレス両方）によって送信元IPアドレスだけの表示、宛先も含めた表示が可能

まとめ

Zone Protectionは、スキャン・IPベースの攻撃を防御
DoS Protectionでフラッド系の攻撃を防御するのがよさそう。

追記

2018年6月25日
SYN CookieはMD5などで計算された値をSYN/ACKに埋め込み応答を返す。
通常だとSYN/ACK送信時、接続待ち状態となりリソースを消費するが
SYN Cookieが有効だとリソースを使わない。ACKが返ってきたら
計算された値を元に接続をする。

プロキシ（リバース）の振舞いをしているならSYN Cookieは有効だけど
プロキシとして動くというのはどういう時だろう。SSL複合化を有効にしている時？