ソリューション

SOLUTION

 >  > カスタマイズドACL

カスタマイズドACL


サービス概要

使用するポートとIPアドレスを組み合わせてポリシーを設定し、必要なトラフィックのみ許可(ホワイトリスト化)することで、サービスポート以外のポートを狙った攻撃、NTP、DNSリフレクション攻撃等を防ぎます。アクセスコントロールリスト(以下、ACL)をインターネットサービスプロバイダ(以下、ISP)側で設定すると、契約回線の手前で不要トラフィックをブロックすることができ、契約したインターネット帯域を有効利用することができます。

予め使用するポートなどを決定しておく必要があるため、想定外の悪意あるトラフィックを完全に排除するなどの対応はできませんが、ポリシーに基づいて効果的にトラフィックを軽減させることができます。

一般的にISPでは、DDoS攻撃や不正アクセスに対する緊急対策としてACLやNull Routeを設定することがあります。しかしあくまで一時的な対策のため、一定時間経過後、若しくはDDoS攻撃が収束次第これらの設定は解除されてしまいます。

これに対しインターナップ・ジャパンの『カスタマイズドACL』は、ACLを恒久的に設定し、不意な攻撃にも対応するサービスです。

(*)アクセスコントロールリスト(ACL)・・・トラフィックを制御するためのリスト。送信元、送信先のポートやIPアドレスなどの組み合わせで通信の許可または拒否を指定します。

カスタマイズドACL

カスタマイズドACLの有効性

よくあるDDoS攻撃にはパターンがあります。DNSリフレクションやNTPリフレクション攻撃はその一例です。UDPを使うDNSやNTPは、信頼性の高いTCP通信に比べ、IPアドレスが偽装しやすく、攻撃元を割出しにくくなるため、アタッカーに好まれる攻撃方法なのです。
詳しくはこちらもご覧ください

例えばDNS/NTPサービスが必要であれば、それらのポート番号(DNSは53番、NTPは123番)と使用するDNS/NTPサーバのIPアドレスの適切な組み合わせのみを指定して許可します。これで大幅にDDoS攻撃を受けるリスクを減らせるのです。

ご利用条件

インターナップ・ジャパンのインターネット接続サービスをご利用のお客様に提供致します。お客様の回線を収容しているインターナップ側のルータのインターフェイスに、ACLを設定します。

ご利用にあたって、既存のインターネット接続サービスからの切り替え方法やマルチホーミングのご相談も承ります。

サービス 料金 備考
カスタマイズドACL 月額
\50,000~
サービスIDごと
10行単位での契約(~20行なら10万円)
追加/変更/削除は1行につき3000円(一時金)
月末カウント時、契約行数を超えていた場合、
1行につき1万円の超過料金を次月請求
導入効果レポート 月額
\50,000
サービスIDごと
当月の設定効果を次月初旬に定期報告
トラフィックモニタリング 月額
\20,000
サービスIDごと
閾値はお客様指定の値を設定
トラフィック解析 スポット
\300,000~
データ収集期間:3日間
お客様NWからインターネット/インターネットからお客様のNWへの (1)送り先・送信元IP (2)送り先・送信元ポート (3)プロトコル
(1)(2)(3)の上位データ量
(Flow/Pakets/Bytes/pps/bps)
(税別)

※オプションサービス(有料)

DDoS対策を効果的に行って頂くために、サービスの開始までをお手伝い致します。

トラフィック調査サービス
平常時のトラフィックを一定期間モニタリングして、調査・分析を行います。ブロックする予定の該当ポートを利用していないかなどを確認します。
ホワイトリスト作成コンサルティング
平常時のトラフィックに基づき、最適な設定をご提案致します。

ご利用開始までの流れ

01ブロックする対象を把握する。
次の組み合わせにより、ブロックする対象を決定します。
  • プロトコル種類(ICMP、TCP、UDP etc.)
  • 発信元IPアドレス
  • 発信元ポート番号
  • 宛先IPアドレス
  • 宛先ポート番号
これらの内容が不明な場合、お客様の許可をいただいた上で、お客様のトラフィック調査にご協力しますのでお問い合わせください。お客様トラフィックのデータ部分を除く、パケットのヘッダー部分を調査して、ブロック対象を確認します。
02設定依頼
インターナップ・ジャパン ネットワークオペレーションセンターにご連絡いただきますと、15分~30分で設定が完了します。

他のISPをご利用中の場合

インターナップ以外のISPをご利用の場合でも、本ページで掲載した内容をご利用中のISPに依頼すれば、有効なDDoS攻撃対策になるかもしれません。その際の流れをアドバイスします。

  • DDoS攻撃が発生したら、プロトコル、攻撃元IPアドレスとポート番号、攻撃先IPアドレスとポート番号を調査する
  • 上記が分からない場合は、ISP側で調査してもらう
  • ACLルールを作成し、ISPに設定を依頼

カスタマイズドACLでできないこととその解決法

カスタマイズドACLでは、トラフィックのセッション情報に基づき許可/ブロックを判断する(ステートフル・インスペクション)はできません。また侵入防止システム(IPS)が行うようなパケットの中身は調査はしません。例えば、カスタマイズドACLでHTTP(ウェブサービス)のみを許可している場合、HTTPに対するトラフィックは、攻撃であろうと正規トラフィックであろうと全て許可されてしまいます。悪意あるトラフィックか否かを判断してブロックを行いたい場合は、Autoプロテクションサービスをご利用下さい。

電話番号03-5209-2222
メールでのお問い合わせ
お問い合わせ
資料ダウンロード
各種お問合せ、お見積もり、資料請求に関するご質問を承っております。まずはお気軽にご連絡ください。