アタックは、システムをクラッシュまたはハングの状態にするように意図された単一パケットのこともあります。アタックは、限られたリソースを浪費するように意図された複数のパケットのこともあり、その場合は意図したユーザーがネットワーク、システム、またはアプリケーションを使用できなくなります (サービス妨害)。 侵入検知サービス (IDS) アタック・ポリシーを使用すると、1 つ以上のカテゴリーのアタック検出を、互いに独立してアクティブにすることができます。一般に、アタック・ポリシーに指定できるアクションのタイプは、イベントのロギング、統計の収集、パケットのトレース、およびアタック・パケットの廃棄です。アタック検査は、 スタックへのインバウンド・パケットに対して実行される場合がほとんどです。
IDS の対象となるのは以下のアタック・カテゴリーです。
多くのアタックは、誤っているか部分的であるヘッダー情報を提供することでシステムのプロトコル・スタックに障害を起こさせるように意図されています。これらのパケットは、IDS ポリシーがどのようなものであっても、受信されると必ず廃棄されます。これらのアタックでは、ソース IP アドレスはほとんど信頼できません。このタイプのアタックは、IPv4 および IPv6 パケットの両方に適用されます。
IDS ポリシーを使用して、誤った形式のパケットによるアタックを通知することができます。
多くのアタックは、IP またはトランスポート・ヘッダーのフラグメント・オーバーレイの結果によるものです。このサポートを使用して、パケットの長さへの変更を含む、パケット内のデータを変更するフラグメント化されたオーバーレイを検出できます。 このタイプのアタックは、IPv4 および IPv6 パケットの両方に適用されます。
IDS ポリシーを使用して、疑わしいフラグメントについての通知を提供し、オプションでそれらを廃棄できます。
IP ヘッダーのプロトコル・フィールドに指定可能な値は 256 個ありますが、通常使用されるのはごく一部の値です。現在特に積極的または意図的に使用していない値を禁止することによって、その後のアタックに対してシステムを保護することができます。
IDS ポリシーを使用して、制限された IP プロトコル値を持つパケットを通知し、またはそのパケットを廃棄することができます。
IPv6 ヘッダーおよび後続の拡張ヘッダーには、次ヘッダー・フィールドがあります。次ヘッダー・フィールドの値は、パケットの次ヘッダーが上位層プロトコルのヘッダー (TCP または UDP ヘッダーなど) あるいは拡張ヘッダー (フラグメント化またはルーティング・ヘッダー) のいずれであるかを識別します。次ヘッダー値として指定可能な値は 256 個ありますが、現在一般的に使用されているものはわずかです。現在特に積極的または意図的に使用していないインバウンド・パケットの次ヘッダー値を禁止することによって、システムを保護することができます。
IDS ポリシーを使用して、制限された次ヘッダー値を持つインバウンド・パケットを通知し、そのパケットを廃棄することができます。
IP プロトコルの場合と同様、受信パケットの IP オプションとして指定可能な値は 256 個ありますが、現在一般的に使用されているものはわずかです。意図的に使用しているのではないオプションの誤用を防止することができます。制限された IP オプションの検査は、別のシステムに転送されたインバウンド・パケットも含め、すべてのインバウンド・パケットに対して行われます。
IDS ポリシーを使用して、制限された IP オプションをもつパケットを通知する、またはそのパケットを廃棄することができます。
受信パケットの IPv6 宛先オプションとして指定可能な値は 256 個ありますが、現在定義されている値はわずかです。意図的に使用しているのではないオプションの誤用を防止することができます。
IDS ポリシーを使用して、IPv6 宛先オプションとして制限された値を持つパケットを通知し、そのパケットを廃棄することができます。
受信パケットの IPv6 ホップ・バイ・ホップ・オプションとして指定可能な値は 256 個ありますが、現在定義されている値はわずかです。意図的に使用しているのではないオプションの誤用を防止することができます。制限された IP ホップ・バイ・ホップ・オプションの検査は、別のシステムに転送されたインバウンド・パケットも含め、すべてのインバウンド・パケットに対して行われます。
IDS ポリシーを使用して、IPv6 ホップ・バイ・ホップ・オプションとして制限された値を持つパケットを通知し、そのパケットを廃棄することができます。
一部の UDP アプリケーションは、受信するすべてのデータグラムに無条件で応答します。Echo、CharGen、または TimeOfDay など、場合によっては、これはネットワーク管理またはネットワーク診断ツールとして有用です。また、誤った形式の要求に対してアプリケーションでエラー・メッセージを送信する場合もあります。ネットワークにデータグラムを挿入して、このようなアプリケーションの中から、1 つを宛先に指定、もう 1 つのアプリケーションを送信元としてスプーフした場合、それらの 2 つのアプリケーションは互いにいつまでも応答し続けることになります。挿入されたデータグラムは、それらのアプリケーションの間で無限エコー会話が行われる結果となります。IDS ポリシーを使用して、この動作をするアプリケーション・ポートを定義することができます。このタイプのアタックは、IPv4 および IPv6 パケットの両方に適用されます。
IDS ポリシーを使用して、無限エコー・パケットを通知する、またはそのパケットを廃棄することができます。
ICMP リダイレクト・パケットおよび ICMPv6 リダイレクト・パケットを使用して、ルーティング・テーブルを変更することができます。IDS ポリシーを使用して、このようにルーティング・テーブルを変更しようとする試みを通知することができます。また、IDS ポリシーを使用して、ICMP リダイレクト・パケットおよび ICMPv6 リダイレクト・パケットを無視することもできます。
ほとんどのネットワーク・アタックは、適切なプロトコル・スタックの実装では通常は作成されないパケットを作成することが求められます。IDS ポリシーを使用して、このようなアタックの試みを多く検出し、当該システムが別のシステムへのアタックの送信元として使用されないようにします。この検査の一部として、アウトバウンド raw パケットに使用できる IP プロトコルを制限することができます。
IDS ポリシーを使用して、アタックと見なされるアウトバウンド raw パケットを通知する、またはそのパケットを廃棄することができます。
ほとんどのネットワーク・アタックは、適切なプロトコル・スタックの実装では通常は作成されないパケットを作成することが求められます。IDS ポリシーを使用して、このようなアタックの試みを多く検出し、当該システムが別のシステムへのアタックの送信元として使用されないようにします。この検査の一部として、IPv6 トラフィックのアウトバウンド raw パケットに使用できるプロトコルを制限することができます。
IDS ポリシーを使用して、アタックと見なされるアウトバウンド IPv6 raw パケットを通知する、またはそのパケットを廃棄することができます。
現時点では、次の 2 つのタイプのフラッディングが検出されます。
一般的なサービス妨害攻撃の 1 つに、不正な、または存在しないソース IP アドレスからの接続要求を、公用サーバーに洪水のように多量に送り付けるものがあります。 その意図は、接続要求に使用可能なスロットをすべて使って、正当なアクセスが行えないようするものです。z/OS® CS は、IDS ポリシーがどのようなものであるかに関係なく、このアタックからサーバーを保護します。
インバウンド・パケットの数と比較して大量の廃棄が発生している場合は、悪意のあるユーザーがサービス妨害攻撃を試みている可能性があります。 あるインターフェースについて、廃棄のパーセンテージが指定したパーセンテージを超えた場合、それは、インターフェース・フラッディングと見なされます。 デフォルトの廃棄のパーセンテージは、10% です。 インターフェース・フラッディング・パーセンテージ・パラメーターを指定すると、このデフォルトをオーバーライドすることができます。
インターフェース上のインバウンド・トラフィックのボリュームが少ないときに、インターフェース・フラッディング条件が誤検出されないようにするため、フラッディングと見なす条件として、1 分間に最小数の廃棄が生ずる必要があります。 デフォルトの最小値は、1 分当たり 1000 件の廃棄です。 インターフェース・フラッディング最小廃棄パラメーターを指定すると、このデフォルトをオーバーライドすることができます。
あるインターフェースについてインターフェース・フラッディング条件が報告される場合、そのインターフェースの廃棄率が、その後 1 分間隔で評価されます。 インターフェース・フラッディング条件の終了は、1 分間隔の廃棄の数がインターフェース・フラッディング最小廃棄パラメーター値を下回るか、廃棄のパーセンテージがインターフェース・フラッディング・パーセンテージ・パラメーター値の 50% を下回った時点で報告されます。
5 分間を超えてインターフェース・フラッディングの状態が継続しているときに、ポリシーがロギングを要求している場合は、インターフェース・フラッディング条件が存在する間、インターフェース・フラッディング継続レコードが 5 分のインターバルでログに記録されます。 このログ・データには、そのインターフェースで廃棄されたパケットに関する追加情報が入っています。
問題の原因が、悪意あるユーザーによるシステムのフラッディング、トラフィックの異常なスパイク、およびセットアップのいずれにあるのかを見分けるのは困難であるので、問題の原因が実際にはフラッディングでないときに、インターフェース・フラッディング条件が報告される可能性があります。 例えば、インバウンド・トラフィックを処理するのに十分なストレージが構成されていない場合に、相当な割合のインバウンド・パケットが廃棄されると、インターフェース・フラッディング・パーセンテージを超える可能性があります。
このタイプのアタックは、IPv4 および IPv6 の両方に適用されます。
IDS ポリシーを使用したアタックの通知によって、ネットワーク管理者およびサービス・プロバイダーに早期に状況を伝えることができます。フラッディング通知には、フラッディング開始およびフラッディング終了イベント・メッセージのほかに、フラッディングによって廃棄された最初の 100 個のパケットのトレースを含むことができます。
EE の誤った形式のパケットは、TCP/IP および SNA プロトコル・スタックを中断するように意図している可能性があります。このパケットは、IP および UDP ヘッダーに誤った情報を持っている可能性があり、論理データ・リンク制御 (LDLC) コマンドが存在するかどうかによって、受信パケットが短くなりすぎたり長くなりすぎたりしていることがあります。有効な EE コマンドでない受信パケットは、すべて誤った形式としてフラグを立てられます。
IDS ポリシー・オプションを使用して、誤った形式のパケットを廃棄したり、後続処理のために VTAM® に転送したりできます。IDS ポリシーを使用して、EE の誤った形式のパケットを通知することができます。ポリシーに除外リストをコーディングして、誤った形式のパケット検査で特定の IP アドレスからのパケットを除外できます。
このタイプのアタックは、IPv4 および IPv6 パケットの両方に適用されます。
EE のアーキテクチャーでは、SNA データの優先順位にマップされる 5 つのポートを定義します。最小番号のポート (通常 12000) はデータ信号交換に使用されます。信号交換データが他のいずれかのポートで受信された場合は、そのデータは疑わしいです。EE LDLC 検査のアタック・タイプが有効な場合は、他のいずれかのポートでの信号交換データの受信はアタックとして検出されます。 このタイプのアタックはサービス妨害 (DoS) アタックである可能性があります。これは、リソースをビジー状態に維持することで、SNA LU がこのホスト上でアプリケーションを使用してセッションを開始することができないように意図されています。
IDS ポリシーを使用することで、これらのパケットを廃棄するか、さらに処理を行うために VTAM に転送するかを選択することができます。ポリシーを構成して、LDLC イベントを通知することができます。ポリシーに除外リストをコーディングして、LDLC 検査から特定の IP アドレスからのパケットを除外できます。
このタイプのアタックは、IPv4 および IPv6 パケットの両方に適用されます。
IDS ポリシーを使用して、受信 EE パケットの UDP ヘッダーでソース・ポートおよび宛先ポートを検査できます。これらのポートの値は同じであることが期待されます。例えば、受信パケットのソース・ポートおよび宛先ポートはともに 12000 です。これらのポート値が同じでない場合、 このパケットはアタック・パケットと見なされます。
IDS ポリシーを使用することで、これらのパケットを廃棄するか、さらに処理を行うために VTAM に転送するかを選択することができます。ポリシーを構成して、ポート検出イベントを通知することができます。ポリシーに除外リストをコーディングして、特定の IP アドレスからのパケットをポート検査から除外できます。 例えば、一時的なソース・ポート値を使用して NULL XID を送信するが、応答が EE 信号交換ポートに送信される製品もあります。
このタイプのアタックは、IPv4 および IPv6 パケットの両方に適用されます。
大量の XID は使用可能なすべての EE 回線を消費し、追加の EE 接続要求を失敗させる可能性があります。EE XID フラッディングのアタック・タイプを有効にして、 特定の VIPA に対して XID フラッディングが発生している場合に通知を受信することができます。
多くの XID 交換がタイムアウトになると、大量の XID が検出されます。このアタック・タイプには廃棄アクションは存在しません。ポリシーに除外リストをコーディングすることで、ピアの IP アドレスが除外リストにある場合にタイムアウトになった XID 交換が XID フラッディングにカウントされないようにすることができます。
このタイプのアタックは、IPv4 および IPv6 パケットの両方に適用されます。
このタイプのアタックは、IPv4 および IPv6 パケットの両方に適用されます。
IDS ポリシーを使用して、隠蔽データを含んでいる可能性のある疑わしいパケットを通知し、そのパケットを廃棄することができます。
IDS ポリシーを使用して、TCP 接続の送信、受信、または不良キューでの制約の発生を検出できます。キューは、そのデータの量、またはそのデータの古さが原因で制約を受けることがあります。ポリシーに構成されている指定量のデータがキューに 30 秒以上存在すると、キューに制約が発生します。どのようなデータでもキューに 60 秒以上存在すると、キューに制約が発生します。オプションで、制約が検出された場合に TCP 接続をリセットできます。TCP 接続をリセットしない場合は、IDS が引き続きキューをモニターし、制約が解除された時点を検出します。 このタイプのアタックは、IPv4 および IPv6 接続の両方に適用されます。
TCP 接続では、なんらかの正当な理由で送信キューにデータが長期間入れられている場合があります。例えば、用紙切れになったプリンターに関連付けられている TCP 接続は、用紙が装てんされるまで待機し、その間はその時点の状態を維持します。TCP 送信キュー・サイズ検査からプリンターなどのデバイスを除外するには、デバイスの IP アドレス、およびオプションで、そのポートを指定して除外を構成します。
IDS ポリシーを使用して、制約が発生した送信、受信、または不良キューを通知し、接続をリセットすることができます。
多数の TCP 接続を作成してそれらを停止させ、データを送信できないようにすることにより、システム・リソースを消費するように意図されたアタックがあります。このサポートでは、アクティブな TCP 接続の少なくとも 50 % が停止しており、少なくとも 1000 の TCP 接続がアクティブな場合に、TCP/IP スタックに対してグローバルな TCP 停止条件を検出します。オプションで、停止した接続をリセットできます。このタイプのアタックは、IPv4 および IPv6 接続の両方に適用されます。
各アタックのカテゴリー (例えば、制限された IP プロトコルなど) について、ポリシーの変更で最高優先順位の規則がマップされます。
アクションには 1 つ以上の通知オプションを指定し、検出されたアタックについて必要な文書を提供することができます。
IDS アタック・ポリシーの場合、通知オプションにより、 アタック・イベントを syslogd およびシステム・コンソールに記録することができます。コンソール・メッセージは、syslogd メッセージで提供される情報のサブセットを提供します。
フラッディング、EE XID フラッディング、TCP キュー・サイズ、およびグローバルな TCP 停止を除くすべてのアタック・カテゴリーでは、1 つのパケットが 1 つのイベントをトリガーします。システム・コンソールへのメッセージあふれを防ぐために、最大イベント・メッセージ・パラメーターを使用して 5 分間のインターバルでアタック・カテゴリーごとに記録されるコンソール・メッセージの最大数を指定してください。syslogd へのメッセージあふれを防ぐために、5 分のインターバル内にアタック・カテゴリーごとに最大 100 個のイベント・メッセージが syslogd に記録されます。グローバルな TCP 停止が検出されたときに、停止された接続ごとに syslogd メッセージが生成されるように要求する syslogd 詳細パラメーターを、グローバルな TCP 停止のアタック・タイプを使用して指定します。
IDS アタック・ポリシーでは、統計アクションによって統計間隔に検出されたアタック・イベントの数を提供することができます。アタックの数は各アタック・カテゴリー (例えば、誤った形式のパケット・イベント) ごとにカウントされ、それぞれ別の統計レコードが生成されます。 アタックの統計を受信したい場合は、例外統計を指定する必要があります。 例外統計では、アタック・カウントがゼロ以外の場合にのみ、そのアタック・カテゴリーについて 統計レコードが生成されます。通常の統計を要求すると、統計間隔にアタックが検出されたかどうかに関係なく、その統計間隔の時間ごとに、レコードが生成されます。
インターフェース・フラッディング・パラメーター (インターフェース・フラッディング最小パーセンテージ・パラメーターとインターフェース・フラッディング最小廃棄パラメーター) をオーバーライドしたい場合は、例外統計を使用しないでください。この場合、一定の期間、通常統計を実行してフラッディング・アタック・カテゴリーでデータを収集し、適切なポリシー・パラメーター値を決定してください。適切な値の決定後、例外統計を指定します。
IDS アタック・ポリシーの場合、トレース・データおよびトレース・レコード・サイズ・パラメーターは、アタック・イベントに関連したパケットがトレースされるかどうかを示します。フラッディング、EE XID フラッディング、TCP キュー・サイズ、およびグローバルな TCP 停止を除くすべてのアタック・カテゴリーでは、1 つのパケットが 1 つのイベントをトリガーし、そのパケットがトレースされます。トレースのフラッディングを防ぐために、5 分間のインターバルでアタック・カテゴリーごとに最大 100 個のアタック・パケットがトレースされます。
EE XID フラッディング、TCP キュー・サイズ、およびグローバルな TCP 停止を除くすべてのアタック・カテゴリーでは、アタック・イベントに関連付けられたパケットの廃棄を指定できます。ただし、誤った形式のパケットおよびフラッディング・パケットは、この設定とは関係なく常に廃棄されます。
TCP キュー・サイズのアタック・カテゴリーの場合、アタック・イベントに関連した接続のリセットを指定できます。
グローバルな TCP 停止のアタック・カテゴリーの場合、グローバルな TCP 停止条件が検出されたときに、停止された接続がリセットされることを指定できます。
EE XID フラッディングのアタック・カテゴリーでは、XID 交換のタイムアウト数が監視されます。廃棄する関連パケットも、リセットする接続もありません。
アクションは、特定のアタック・カテゴリー (例えば、誤った形式など) に固有のものにするか、1 つ以上のアタック・カテゴリーで共用することができます。 アクションを共用にしても、統計データはアタック・タイプごとに別々に保持されます。また、コンソール・メッセージの最大数も、アタック・カテゴリーごとに別々に適用されます。