会社の公開ネットワークを大幅に変更して2日目、今日新たな問題が。
社員向けに外部から社内メールが閲覧できるWebメールサービスを行っているのだが、先日のネットワーク工事以降「突然切断される」という事象が発生しているとの問い合わせが。
詳しく聞いてみると、2時間に1回程度リンクをクリックしても全く応答しなくなり、Webメールアプリケーションの通信が遮断されると表示される「サーバとの通信に問題が発生しました」等のメッセージが出るとのこと。
回線切り替えにあわせてルータ・ファイアウォールの設定を変更したが、何か問題があったのかな・・・
とりあえず、事象が発生している人のIPアドレスを聞いて、ログを調査することに。ファイアウォール(ASA)のログを見ても、大きなエラーはない。ただ、通信が途切れたログは多少残っていた。
次にルータのログを調べると、あっさり答えが。それは、ルータに内蔵されているファイアウォールのログから該当のIPアドレスを検索すると、
01 XX:XX:XX 6 FIRE FIRE ATTK XX:XX:XX SYN attack from ZZZ.ZZZ.ZZZ.ZZZ is underway 01 XX:XX:XX 6 FIRE FIRE ATTK XX:XX:XX Host scan from ZZZ.ZZZ.ZZZ.ZZZ is underway 01 XX:XX:XX 6 FIRE FIRE ATTK XX:XX:XX Denial of service attack from ZZZ.ZZZ.ZZZ.ZZZ is underway ※Xは時間、ZはIPアドレス
というログが大量に!
調べてみると、「ZZZ.ZZZ.ZZZ.ZZZ からSYNアタック、ホストスキャン、DOS攻撃を受けているので通信を遮断しました」というもの。でも、接続元のIPアドレスも客先企業のれっきとした回線の物であり、セキュリティも対策してるだろうからDOS攻撃してくるなんて考えられない。
なぜ攻撃をしているというログが出るのか、調べてみたら以下のような事実が判明。
クライアントPC → PROXYサーバ → ARルータ と経由してWebブラウジングしているわけだが、クライアント(複数)からのリクエストが多くなると、ARルータが PROXYサーバから外部へ HOSTSCAN や SYNATTACK 等 が あると勘違いするのか、PROXYからのパケットをブロックしてしまうのである。(3分程度で回復するのだが)
これを抑止するため、以下の設定を実施してみたが、まるで効果が無い。ウソだろ、おぃ。(^^;)
Admin arrouter> set firewall poli="fire" attack=hostscan outt=4294967295 ti=1
Admin arrouter> set firewall poli="fire" attack=synattack outt=4294967295 ti=1で、アタマに来てサポートに連絡。そしたら、次のような回答が・・
結論から申し上げますと、誠に恐れ入りますが 現象の回避はできかねます。また、攻撃検出機能を無効にする設定もできかねます。
このため、攻撃の通知イベントを発生させるしきい値を設定することにより通知イベントを発生しにくく設定していただいておりますが、残念ながら現在の設定が本製品に設定できる最大値となります。
これは困った。しかし、なぜSPIを切れないんだ??
それ以前に、ホストスキャンの類が ホントに 1分間 4294967295回以上 発生したというのか??
上記の例はAR320の例だが、同じメーカーであれば判定ロジックも同じだろうし、該当している可能性が高い。(ちなみに当方はAR410V2)
要は、外部からのWebアクセスを攻撃と判断して、遮断してしまっているようだ。Webメールは画像など読み込むファイルが多くて、接続セッションが多くなってしまうのに加え、同じ客先から複数人Webメールを利用しており、同一IPアドレスから多数の接続要求を受けて、攻撃と見なされてしまったようだ。
攻撃ではないことは、その直前のログを見ると分かる。
01 XX:XX:XX 4 FIRE FIRE INDTC TCP YYY.YYY.YYY.YYY:32540 ZZZ.ZZZ.ZZZ.ZZZ:443 ※Xは時間、Yは接続元IP、Zは接続先IP
接続先のIPアドレスはWebメールサーバであり、ポートも「443(HTTPS)」のため、Webメールを真っ当に使用していることには間違いない。つまり、誤検出と言ってもいいだろう。
解決方法はないのか、さらに上記サイトを読んでいた。
その後、以下のように設定することで、SYN ATTACKについては WARNINGが出なくなった。
Admin arrouter> set firewall poli="fire" attack=synattack outt=0 ti=1
ただし、同じことを HOST SCANの方で設定しても逆効果だった。もう、わけわからん。(T_T)
同じようにしてみたが、相変わらずポコポコ誤検出されて、切断されてしまったようだ。
切断するかどうかは、検出された攻撃が指定時間内に指定回数発生した場合。標準のしきい値を見てみた上で、一番回数が大きく時間が短い物にしてみたが・・・
- CentreCOM AR410 V2 コマンドリファレンス: SET FIREWALL POLICY ATTACK
- http://www.allied-telesis.co.jp/support/list/router/ar410v2/docs/SET_FIREWALL_POLICY_ATTACK.html
相変わらず検出されてしまう。
攻撃ブロック機能だけ無効にすることはできず、無効にしたければルータのファイアウォール機能全てを無効にするしかないらしい。しかし、本当の攻撃が襲って来るだろうし、半年ほど前にDownadupの影響からか中国からTCP/1433宛にDDOS攻撃があり、その際ルータと回線が死にかけたことがあるので、このまま無効にするのは無謀すぎる(その時はルータのファイアウォール機能で1433ポートを遮断)。でもこのままでは利用者にとって業務に支障をきたすし・・・
今日の午後はほとんどこれの解決策がないかの調査に追われた。結局、アライドテレシスのルータを使用している以上、「回避策はない」か「ファイアウォール機能を無効にする」しかない状態。ファイアウォール機能の代わりにIPフィルター機能で代替できそうでもあったが、短時間では設定内容の理解は元より、稼働中の回線を止める訳にも行かないので実現せず。
さて、どうしたものか。来週からの課題だ。
一番いいのはルータを別メーカーに変えることなんだろうけど、予算を取ってなければ別メーカーの代替機もないしなぁ・・・困った。
おまけ
最初、「向こう側の回線の問題では?」とも思ったが、結局自分のところが問題だった。まずは相手を疑うところからはじめる癖を直さないといけないな。
その後
結局、Firewall機能を無効にして、IPフィルターで制御する方式へ変更した。
こうすることでAttack誤検出することなく使用できるようになった。ただ、本当のAttackが来た場合に負荷が高くなったりしないか心配。
参考までに、設定した内容を一部ぼかして記載。
############## # Firewallの無効化 ############## disable firewall ############## # WAN側インタフェース(PPP0)にフィルター「fil=1」を設定 # 【設定例の前提】クラスCのIPアドレスを使用する場合 ############## # ac=include→許可、ac=exclude→破棄 # 上から順に適用され、いずれにも該当しないものは全て破棄される # http,https,domainの許可 add ip fil=1 so=0.0.0.0 ent=1 des=XXX.YYY.ZZZ.0 dm=255.255.255.0 ac=include prot=tcp dp=wwwhttp add ip fil=1 so=0.0.0.0 ent=2 des=XXX.YYY.ZZZ.0 dm=255.255.255.0 ac=include prot=tcp dp=443 add ip fil=1 so=0.0.0.0 ent=3 des=XXX.YYY.ZZZ.0 dm=255.255.255.0 ac=include prot=tcp dp=smtp add ip fil=1 so=0.0.0.0 ent=4 des=XXX.YYY.ZZZ.0 dm=255.255.255.0 ac=include prot=tcp dp=domain add ip fil=1 so=0.0.0.0 ent=5 des=XXX.YYY.ZZZ.0 dm=255.255.255.0 ac=include prot=udp dp=domain # ICMP(PING)の許可、ただしルータ自身(des=XXX.YYY.ZZZ.1)は除く add ip fil=1 so=0.0.0.0 ent=6 des=XXX.YYY.ZZZ.1 ac=exclude prot=icmp add ip fil=1 so=0.0.0.0 ent=7 des=XXX.YYY.ZZZ.0 dm=255.255.255.0 ac=include prot=icmp # establishedの許可 add ip fil=1 so=0.0.0.0 ent=8 des=XXX.YYY.ZZZ.0 dm=255.255.255.0 ac=include prot=tcp se=established # その他通したいポートを記述 add ip fil=1 so=0.0.0.0 ent=9 des=XXX.YYY.ZZZ.0 dm=255.255.255.0 ac=include prot=tcp dp=8080 # フィルターの適用 set ip int=ppp0 fil=1 ############## # LAN側インタフェース(vlan1)にフィルター「fil=2」を設定 # 【設定例の前提】クラスCのIPアドレスを使用する場合 ############## # ここでは例として、一部を除きLAN側→WAN側の通信は基本全て許可する場合の設定 # (Firewall機能の標準的な設定の置き換え) add ip fil=2 so=XXX.YYY.ZZZ.0 ent=1 sm=255.255.255.0 ac=exclude prot=tcp dp=135 add ip fil=2 so=XXX.YYY.ZZZ.0 ent=2 sm=255.255.255.0 ac=exclude prot=udp dp=135 add ip fil=2 so=XXX.YYY.ZZZ.0 ent=3 sm=255.255.255.0 ac=exclude prot=tcp dp=137:139 add ip fil=2 so=XXX.YYY.ZZZ.0 ent=4 sm=255.255.255.0 ac=exclude prot=udp dp=137:139 add ip fil=2 so=XXX.YYY.ZZZ.0 ent=5 sm=255.255.255.0 ac=exclude prot=tcp dp=445 add ip fil=2 so=XXX.YYY.ZZZ.0 ent=6 sm=255.255.255.0 ac=exclude prot=udp dp=445 add ip fil=2 so=XXX.YYY.ZZZ.0 ent=7 sm=255.255.255.0 ac=exclude prot=tcp dp=593 add ip fil=2 so=XXX.YYY.ZZZ.0 ent=8 sm=255.255.255.0 ac=exclude prot=tcp dp=389 add ip fil=2 so=XXX.YYY.ZZZ.0 ent=9 sm=255.255.255.0 ac=include prot=tcp add ip fil=2 so=XXX.YYY.ZZZ.0 ent=10 sm=255.255.255.0 ac=include prot=udp add ip fil=2 so=XXX.YYY.ZZZ.0 ent=11 sm=255.255.255.0 ac=include prot=icmp # フィルターの適用 set ip int=vlan1 fil=2
アライドテレシス AR410S V2(AR410 V2+AR011 V2) 39613
- 出版社/メーカー: アライドテレシス
- 発売日: 2003/04/25
- メディア: エレクトロニクス
- クリック: 1回
- この商品を含むブログ (2件) を見る