実際のUTMを利用して、設定や動作を通じてその機能を解説していこう。ここでは題材として、英ソフォスの個人向けUTMソフトウエア「Sophos XG Firewall Home Edition(以下、XG Firewall Home)」を使用する。
今回はIPS(Intrusion Prevention System)、VPN(Virtual Private Network)、DMZ(DeMilitarized Zone)の各機能について設定と動作を見ていく。
実習4:DoS攻撃を検知してブロックする
UTMにはIPSの機能がある。ここではその1つであるDoS/DDoS(Denial of Service/Distributed Denial of Service)攻撃に対処する設定を説明する。
DoS攻撃の一種である「SYN Flood攻撃」への対策を設定してみよう。SYN Flood攻撃は、短時間にTCPのSYNパケットを大量に送り付ける攻撃。サーバーに大量のTCP通信を受け付けさせて資源を使い尽くさせる。XG Firewall Homeはそうした攻撃のパケットをドロップできる。
管理画面の「侵入防御」にある「DoS/スプーフ防御」画面で、「SYNフラッド」の設定項目にSYN Flood攻撃とみなすパケットレートを設定する。DoS攻撃かどうかは一度に送られてくる通信の量によって識別するので、攻撃とみなすしきい値を入力する。
下の図では、1分間で1万2000個または1秒間で100個のSYNパケットが送られてきたらドロップするように設定している。「適用フラグ」をチェックして適用すると、DoS攻撃の検知とドロップが有効になる。
動作確認のため、1分間に数十万個のSYNパケットをWANインターフェースのIPアドレスに対して送った。するとXG Firewall HomeはSYN Flood攻撃とみなし、約48万個のパケットをドロップした。