コンテンツにスキップ
CLI および API ガイドを含むローカル管理スイッチのドキュメントを開くには、ここをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/customer/help/ja-jp/index.html?contextId=switch-management-security

セキュリティ

Sophos Switch でセキュリティ設定を設定できます。

DoS

Sophos Switch は、サービス拒否 (DoS) 攻撃を監視およびブロックできます。DoS 攻撃は、ホストを過負荷にしてネットワークへの接続を中断させることを目的としたネットワークトラフィックです。

オン」または「オフ」を選択し て、DoS 対策のオン/オフを切り替えます。スイッチ上でローカルに設定された設定を使用する場合は、「未設定」を選択します。

DoS をオンまたはオフにした後、「更新」をクリックして 変更を保存します。

DoS をオンにすると、スイッチは次のタイプの DoS 攻撃に一致するパケットをドロップします。

  • 送信元 MAC と同じ宛先 MAC: 送信元 MAC アドレスと宛先 MAC アドレスが同じトラフィックをドロップします。
  • 送信元 IP と同じ宛先 IP の LAND 攻撃 (IPv4/IPv6): 送信元 IP アドレスと宛先 IP アドレスが同じパケットをドロップします。

  • TCP Blat (送信元 TCP ポートと同じ宛先 TCP ポート): 送信元 TCP ポートと宛先 TCP ポートが同じ場合、TCP パケットをドロップします。

    ネットワークタイムプロトコル (NTP) クライアントは、同じ送信元ポートと宛先ポートを使用することがあります。DoS 対策をオンにすると、Sophos Switch はこれを TCP Blat 攻撃として検出し、パケットをドロップします。同じ送信元ポートと宛先ポートを使用する古い NTP クライアントを実行している場合は、DoS 対策をオフにすることをお勧めします。

  • UDP Blat (送信元 UDP ポートと同じ宛先 UDP ポート): 送信元 UDP ポートと宛先 UDP ポートが同じ場合、UDP パケットをドロップします。

  • Ping of Death (IPv4/IPv6): 64K バイトを超える長さのパケットをフラグメントによってドロップします。
  • IPv6 最小フラグメント (バイト): IPv6 フラグメントの最小サイズを 1240バイトに制限します。
  • ICMP フラグメント (IPv4/IPv6): フラグメント化された ICMP パケットをドロップします。
  • IPv4 Ping 最大サイズ: IPv4 ping パケットの最大長を 512バイトに制限します。
  • IPv6 Ping 最大サイズ: IPv6 ping パケットの最大長を 512バイトに制限します。
  • Smurf 攻撃 (ネットマスク長): ブロードキャスト ICMP パケットのネットマスク長を 24 (x.x.x.255) に制限します。
  • TCP 最小ヘッダーサイズ (バイト): TCP ヘッダーの最小サイズを 20バイトに制限します。
  • TCP-SYN: SYN フラグが設定されていて、ACK フラグが設定されておらず、送信元ポートが 1024より小さい TCP パケットをドロップします。
  • Null スキャン: フラグが設定されておらず、シーケンス番号がゼロの TCPパケットをドロップします。
  • Xmas: シーケンス番号が 0 で、FIN、URG、および PSH フラグが設定されている TCP パケットをドロップします。
  • TCP SYN-FIN: SYN フラグおよびFINフラグが設定された TCP パケットをドロップします。
  • TCP SYN-RST: SYN フラグおよびRSTフラグが設定された TCP パケットをドロップします。