カスタマイズドACL

使用するポートとIPアドレスを組み合わせてポリシーを設定し、必要なトラフィックのみ許可（ホワイトリスト化）することで、サービスポート以外のポートを狙った攻撃、NTP、DNSリフレクション攻撃等を防ぎます。アクセスコントロールリスト（以下、ACL）をインターネットサービスプロバイダ（以下、ISP）側で設定すると、契約回線の手前で不要トラフィックをブロックすることができ、契約したインターネット帯域を有効利用することができます。

予め使用するポートなどを決定しておく必要があるため、想定外の悪意あるトラフィックを完全に排除するなどの対応はできませんが、ポリシーに基づいて効果的にトラフィックを軽減させることができます。

一般的にISPでは、DDoS攻撃や不正アクセスに対する緊急対策としてACLやNull Routeを設定することがあります。しかしあくまで一時的な対策のため、一定時間経過後、若しくはDDoS攻撃が収束次第これらの設定は解除されてしまいます。

これに対しUnitas Globalの『カスタマイズドACL』は、ACLを恒久的に設定し、不意な攻撃にも対応するサービスです。

（*）アクセスコントロールリスト（ACL）・・・トラフィックを制御するためのリスト。送信元、送信先のポートやIPアドレスなどの組み合わせで通信の許可または拒否を指定します。

よくあるDDoS攻撃にはパターンがあります。DNSリフレクションやNTPリフレクション攻撃はその一例です。UDPを使うDNSやNTPは、信頼性の高いTCP通信に比べ、IPアドレスが偽装しやすく、攻撃元を割出しにくくなるため、アタッカーに好まれる攻撃方法なのです。
（詳しくはこちらもご覧ください）

例えばDNS/NTPサービスが必要であれば、それらのポート番号（DNSは53番、NTPは123番）と使用するDNS/NTPサーバのIPアドレスの適切な組み合わせのみを指定して許可します。これで大幅にDDoS攻撃を受けるリスクを減らせるのです。

Unitas Globalのインターネット接続サービスをご利用のお客様に提供致します。お客様の回線を収容しているUnitas Global側のルータのインターフェイスに、ACLを設定します。

ご利用にあたって、既存のインターネット接続サービスからの切り替え方法やマルチホーミングのご相談も承ります。

(税別)

※オプションサービス（有料）

DDoS対策を効果的に行って頂くために、サービスの開始までをお手伝い致します。

• トラフィック調査サービス

  平常時のトラフィックを一定期間モニタリングして、調査・分析を行います。ブロックする予定の該当ポートを利用していないかなどを確認します。

• ホワイトリスト作成コンサルティング

  平常時のトラフィックに基づき、最適な設定をご提案致します。

01ブロックする対象を把握する。

次の組み合わせにより、ブロックする対象を決定します。

• プロトコル種類（ICMP、TCP、UDP etc.）
• 発信元IPアドレス
• 発信元ポート番号
• 宛先IPアドレス
• 宛先ポート番号

これらの内容が不明な場合、お客様の許可をいただいた上で、お客様のトラフィック調査にご協力しますのでお問い合わせください。お客様トラフィックのデータ部分を除く、パケットのヘッダー部分を調査して、ブロック対象を確認します。

02設定依頼

Unitas Global　ネットワークオペレーションセンターにご連絡いただきますと、15分～30分で設定が完了します。

Unitas Global以外のISPをご利用の場合でも、本ページで掲載した内容をご利用中のISPに依頼すれば、有効なDDoS攻撃対策になるかもしれません。その際の流れをアドバイスします。

• DDoS攻撃が発生したら、プロトコル、攻撃元IPアドレスとポート番号、攻撃先IPアドレスとポート番号を調査する
• 上記が分からない場合は、ISP側で調査してもらう
• ACLルールを作成し、ISPに設定を依頼