보안

Sophos Switch에 대한 보안 설정을 구성할 수 있습니다.

DoS

Sophos Switch는 DoS(서비스 거부) 공격을 모니터링하고 차단할 수 있습니다. DoS 공격은 호스트를 압도하여 네트워크에 대한 연결을 방해하려는 네트워크 트래픽입니다.

DoS 보호를 켜거나 끄려면 켜기 또는 끄기를 선택합니다. 스위치에 로컬로 구성된 설정을 사용하려면 설정되지 않음을 선택합니다.

DoS를 켜거나 끈 후 업데이트를 클릭하여 변경 사항을 저장합니다.

DoS를 켜면 스위치는 다음 유형의 DoS 공격과 일치하는 패킷을 삭제합니다.

• 대상 MAC이 소스 MAC과 같음: 소스 및 대상 MAC 주소가 동일한 트래픽을 삭제합니다.
• LAND 공격 대상 IP가 소스 IP와 같음(IPv4/IPv6): 소스 IP 주소와 대상 IP 주소가 동일한 패킷을 삭제합니다.

• TCP Blat(대상 TCP 포트와 소스 TCP 포트가 같음): 소스 TCP 포트와 대상 IP 포트가 동일한 TCP 패킷을 삭제합니다.

  참고

  NTP(Network Time Protocol) 클라이언트가 동일한 소스 포트와 대상 포트를 사용하는 경우도 있습니다. DoS 보호를 켜면 Sophos Switch는 이를 TCP Blat 공격으로 감지하고 패킷을 삭제합니다. 동일한 소스 포트와 대상 포트를 사용하는 이전 NTP 클라이언트를 실행하는 경우 DoS 보호를 끄는 것이 좋습니다.

• UDP Blat(대상 UDP 포트와 소스 UDP 포트가 같음): 소스 UDP 포트와 대상 UDP 포트가 동일한 UDP 패킷을 삭제합니다.

• 죽음의 핑(IPv4/IPv6): 길이가 64KB보다 큰 패킷을 조각을 통해 삭제합니다.
• IPv6 최소 조각(바이트): IPv6 조각의 최소 크기를 1240바이트로 제한합니다.
• ICMP 조각(IPv4/IPv6): 단편화된 ICMP 패킷을 삭제합니다.
• IPv4 Ping 최대 크기: IPv4 Ping 패킷의 최대 길이를 512바이트로 제한합니다.
• IPv6 Ping 최대 크기: IPv6 Ping 패킷의 최대 길이를 512바이트로 제한합니다.
• 스머프 공격(넷마스크 길이): 브로드캐스트 ICMP 패킷의 넷마스크 길이를 24(x.x.x.255)로 제한합니다.
• TCP 최소 헤더 크기(바이트): TCP 헤더의 최소 크기를 20바이트로 제한합니다.
• TCP-SYN: SYN 플래그가 설정되어 있고 ACK 플래그가 설정되어 있지 않으며 소스 포트가 1024보다 작은 TCP 패킷을 삭제합니다.
• Null 스캔: 플래그가 설정되지 않고 시퀀스 번호가 0인 TCP 패킷을 삭제합니다.
• Xmas: 시퀀스 번호가 0이고 FIN, URG 및 PSH 플래그가 설정된 TCP 패킷을 삭제합니다.
• TCP SYN-FIN: SYN 및 FIN 플래그가 설정된 TCP 패킷을 삭제합니다.
• TCP SYN-RST: SYN 및 RST 플래그가 설정된 TCP 패킷을 삭제합니다.