- PR -

IDSのKILLパケットでMACアドレステーブルフラップ

1
投稿者投稿内容
たみお
会議室デビュー日: 2004/10/02
投稿数: 11
投稿日時: 2005-08-10 23:47
IDSをL2スイッチ(DMZ)のモニタポートに接続して侵入検知を行っています。
概要としては以下の図のとおりです。

コード:
-------------------      ------------
| L2スイッチ(DMZ) |------| FireWall |-----Internet
-------------------      ------------
   |         |
-------  ---------- 
| IDS |  | サーバ | ←サーバは複数台あります。
-------  ----------


IDSが不正パケットを検知した際にKILLパケットを投げるのですが、その際に検知したパケットの宛先MACを送信元MACにしてKILLパケットを投げています。
この時、L2スイッチのMACテーブルのフラッピングが起きてしまい、サーバに通信できない。という障害がたびたび発生しています。
具体的には上の図で、
・FireWall接続ポート、IDS接続ポート間でのフラッピング
・サーバ接続ポート、IDS接続ポート間でのフラッピング
が起きています。

対策として、
@IDSがKILLパケットを投げる際の送信元MACを、自分のNICのMACになるように設定する。
AL2スイッチにて、全機器のMACをStaticでMACテーブルに登録する。
を考えました。

しかし、
@については、そのような設定ができないIDSであったためNG。
Aについては、L2スイッチの設定が複雑になり運用が困難なためNG。
という結果に至りました。

他に何か良い案がありましたら教えていただけないでしょうか?
IDSを設置する構成を変更することも可能ですので、推奨案があればご教授下さい。

よろしくお願いいたします。
きつね
常連さん
会議室デビュー日: 2004/01/02
投稿数: 37
お住まい・勤務地: 西新宿
投稿日時: 2005-08-11 00:18
スイッチの設定で、ミラーポートに設定しているポートのMACアドレスのラーニング機能をOFFにできませんか?できるようなら、それで解決できそうきがします。

スイッチの具体的な機種名を書けば、誰かがコンフィグを書いてくれるかもしれませんよ。
たみお
会議室デビュー日: 2004/10/02
投稿数: 11
投稿日時: 2005-08-11 01:29
ご返信ありがとうございます。

>スイッチの設定で、ミラーポートに設定しているポートのMACアドレスのラーニング機能を
>OFFにできませんか?できるようなら、それで解決できそうきがします。
最初はそれができれば最良と考えたのですが、コマンドを見つけられませんでした。。

>スイッチの具体的な機種名を書けば、誰かがコンフィグを書いてくれるかもしれませんよ。
スイッチはCatalyst2924XLです。IOSバージョンは、Version 12.0(5)WC10 です。

よろしくお願いいたします。
きつね
常連さん
会議室デビュー日: 2004/01/02
投稿数: 37
お住まい・勤務地: 西新宿
投稿日時: 2005-08-12 00:45
>>スイッチの具体的な機種名を書けば、誰かがコンフィグを書いてくれるかもしれませんよ。
>スイッチはCatalyst2924XLです。IOSバージョンは、Version 12.0(5)WC10 です。

んー、確かにぱっと見た感じCatalystにはそういったコマンドはなさそうですね。
例えばSummitにならありますが、そもそもミラーポートからフレームを食ってくれるかが怪しいです。

そのIDSの利用を諦めてIPS製品などに置き換えるというのも一つの手かもしれません。まぁ、もちろん、セキュリティーポリシーや予算次第ですが。

そのIDSを使い続ける必要があるということでしたら、販売元に想定している動作環境を問い合わせてみてはいかがでしょう?このIDSのような動作をするとスイッチドネットワークでトラブルが起こることは自明ですし、何らかの対処法があって然るべきだと思います。
たみお
会議室デビュー日: 2004/10/02
投稿数: 11
投稿日時: 2005-08-12 15:49
たびたびのご返信ありがとうございます。

>んー、確かにぱっと見た感じCatalystにはそういったコマンドはなさそうですね。
私もマニュアル、コマンドリファレンスを読みましたが、なさそうですね。残念です。。

>そのIDSを使い続ける必要があるということでしたら、
>販売元に想定している動作環境を問い合わせてみてはいかがでしょう?
ISSのRealSecure NetworkSensorを使用しているのですが、ISSのナレッジページにこの障害に関する記載がありました。
RSKillを送信後、基幹ネットワークに通信障害が発生してしまいました

上記URLによると、対処方法は、
@スイッチの設定上で覚え込みを無効にする。
Aスイッチからシェアード HUB にする。
BRSKillを送信しない。
CNetwork Sensor 7.0 を使用する。
の4つが記載されています。

@については、
きつね様から教えていただいた案ですが、Catalystでの設定が無さそうなためNG。

Aについては、
最初の投稿では記載しませんでしたが、Firewall、L2スイッチは冗長構成で、L2スイッチ間をFECで接続している構成です。
バカHUBにするとL2スイッチ間のFECが使用できなくなり、耐障害性が低下するためNG。
コード:

IDS
|
|←モニタポート
|
L2(Cat2924XL)--------F/W
||
||←FEC
||
L2(Cat2950)----------F/W


Bについては、
そもそもの要件(不正検知があった場合、KILLパケットで対処)を満たさないためNG。

Cについては、
NetworkSensor7.0では送信元MACを偽装せず、独自のMACアドレスを使用するようです。
ただし、現在のバージョンは(古すぎてお恥ずかいのですが)3.0であるためNG。

「@スイッチの設定上で覚え込みを無効にする。」について、
Catalyst2924XLとFECで繋がっているスイッチが、Catayst2950なのですが、
この設定があるかご存知の方がいましたら教えて下さい。
(自分で調べた限りでは無かったのですが。。)

他にも良い案がありましたらお願いいたします。
1

スキルアップ/キャリアアップ(JOB@IT)