不正アクセス検知時のメール通知機能

$Date: 2023/07/07 18:17:12 $

• 概要
• 注意事項
• 対応機種とファームウェアリビジョン
• 詳細
• GUI
• コマンド
• 設定例

概要

不正アクセス検知機能(IDS)によって不正アクセスを検知すると、設定したメールアドレスに対して検知した内容をメールで通知します。

注意事項

• メール通知の基本的な動作は、バックアップ時のメール通知をご覧ください。

対応機種とファームウェアリビジョン

詳細

• メール通知の対象について

  不正アクセス検知時のメール通知を使用するためには、ip I/F intrusion detectionコマンドとmail notify trigger intrusionコマンドの設定が必要です。ip I/F intrusion detectionコマンドで設定した不正アクセス検知機能(IDS)により不正アクセスが検知され、検知した情報がmail notify trigger intrusionコマンドで指定した条件に合った場合に、メール通知が動作します。
  mail notify trigger intrusionコマンドでは、不正アクセスの種類（ip I/F intrusion detectionコマンドのオプション ['ip'、'ip-option'、'fragment'、'icmp'、'udp'、'tcp'、'ftp', 'winny']）ごとに通知対象を分けることができません。検知した全ての不正アクセスが通知対象となります。
  また、ip I/F intrusion detectionコマンドのrejectオプションは、メール通知の動作に影響は与えません。

• コマンドで指定できるインタフェースについて

  mail notify trigger intrusionコマンドで指定できるインターフェースは、以下の表に基づきます。

  PP/TUNNELインタフェースのインタフェース番号に'*'を指定すると、全てのLAN/PP/TUNNELインタフェースに対して有効になります。
  また、一つのコマンドに対して重複したインタフェース＋方向を指定することはできません。

  • vRX VMware ESXi版

    インターフェース名	範囲
    LAN	lan1〜lan4＋'*'
    PP	1〜150＋'*'
    TUNNEL	1〜6000＋'*' (通常モード) 1〜1000＋'*' (コンパクトモード)
    *	LAN、PP、TUNNELを含む全てのインターフェース

    
    
  • vRX Amazon EC2版

    インターフェース名	範囲
    LAN	lan1〜lan4＋'*'
    PP	1〜150＋'*'
    TUNNEL	1〜6000＋'*' (通常モード) 1〜1000＋'*' (コンパクトモード)
    *	LAN、PP、TUNNELを含む全てのインターフェース

    
    
  • RTX5000

    インターフェース名	範囲
    LAN	lan1〜lan4＋lan1.1〜lan1.4＋lan2.1〜lan2.4＋lanN/1〜lanN/32 + '*'
    PP	1〜150＋'*'
    TUNNEL	1〜3000＋'*'
    *	LAN、PP、TUNNELを含む全てのインターフェース

    
    
  • RTX3510

    インターフェース名	範囲
    LAN	lan1〜lan4＋lan1.1〜lan1.4＋lan2.1〜lan2.4＋lanN/1〜lanN/32 + '*'
    WAN	wan1
    PP	1〜150＋'*'
    TUNNEL	1〜1000＋'*'
    *	LAN、WAN、PP、TUNNELを含む全てのインターフェース

    
    
  • RTX3500

    インターフェース名	範囲
    LAN	lan1〜lan4＋lan1.1〜lan1.4＋lan2.1〜lan2.4＋lanN/1〜lanN/32 + '*'
    PP	1〜150＋'*'
    TUNNEL	1〜1000＋'*'
    *	LAN、PP、TUNNELを含む全てのインターフェース

    
    
  • RTX3000

    インターフェース名	範囲
    LAN	lan1〜lan4＋lanN/1〜lanN/32 + '*'
    PP	1〜150＋'*'
    TUNNEL	1〜1000＋'*'
    *	LAN、PP、TUNNELを含む全てのインターフェース

    
    
  • RTX1300

    インターフェース名	範囲
    LAN	lan1〜lan8＋lanN/1〜lanN/32 + '*'
    WAN	wan1
    PP	1〜100＋'*'
    TUNNEL	1〜100＋'*'
    *	LAN、WAN、PP、TUNNELを含む全てのインターフェース

    
    
  • RTX1220

    インターフェース名	範囲
    LAN	lan1〜lan3＋lan1.1〜lan1.8＋lanN/1〜lanN/32 + '*'
    WAN	wan1
    PP	1〜100＋'*'
    TUNNEL	1〜100＋'*'
    *	LAN、WAN、PP、TUNNELを含む全てのインターフェース

    
    
  • RTX1210

    インターフェース名	範囲
    LAN	lan1〜lan3＋lan1.1〜lan1.8＋lanN/1〜lanN/32 + '*'
    WAN	wan1
    PP	1〜100＋'*'
    TUNNEL	1〜100＋'*'
    *	LAN、WAN、PP、TUNNELを含む全てのインターフェース

    
    
  • RTX1200

    インターフェース名	範囲
    LAN	lan1〜lan3＋lan1.1〜lan1.8＋lanN/1〜lanN/32 + '*'
    WAN	wan1
    PP	1〜100＋'*'
    TUNNEL	1〜100＋'*'
    *	LAN、WAN、PP、TUNNELを含む全てのインターフェース

    
    
  • RTX830

    インターフェース名	範囲
    LAN	lan1〜lan2＋lan1.1〜lan1.4＋lanN/1〜lanN/32 + '*'
    WAN	wan1
    PP	1〜30＋'*'
    TUNNEL	1〜20＋'*'
    *	LAN、WAN、PP、TUNNELを含む全てのインターフェース

    
    
  • RTX810

    インターフェース名	範囲
    LAN	lan1〜lan2＋lan1.1〜lan1.4＋lanN/1〜lanN/8 + '*'
    WAN	wan1
    PP	1〜30＋'*'
    TUNNEL	1〜6＋'*'
    *	LAN、WAN、PP、TUNNELを含む全てのインターフェース

    
    
  • FWX120

    インターフェース名	範囲
    LAN	lan1〜lan2＋lan1.1〜lan1.4＋lanN/1〜lanN/8 + '*'
    WAN	wan1
    PP	1〜30＋'*'
    TUNNEL	1〜30＋'*'
    *	LAN、WAN、PP、TUNNELを含む全てのインターフェース

    
    
  • SRT100

    インターフェース名	範囲
    LAN	lan1〜lan2＋lan1.1〜lan1.4＋lanN/1〜lanN/8 + '*'
    WAN	wan1
    PP	1〜30＋'*'
    TUNNEL	1〜10＋'*'
    *	LAN、WAN、PP、TUNNELを含む全てのインターフェース

    
    
  • NVR700W

    インターフェース名	範囲
    LAN	lan1〜lan2＋lan1.1〜lan1.4＋lanN/1〜lanN/32 + '*'
    WAN	wan1
    ONU	onu1
    PP	1〜30＋'*'
    TUNNEL	1〜6＋'*'
    *	LAN、WAN、ONU、PP、TUNNELを含む全てのインターフェース

    
    
  • NVR510

    インターフェース名	範囲
    LAN	lan1〜lan2 + '*'
    WAN	wan1
    ONU	onu1
    PP	1〜30＋'*'
    TUNNEL	1〜4＋'*'
    *	LAN、WAN、ONU、PP、TUNNELを含む全てのインターフェース

    
    
  • NVR500

    インターフェース名	範囲
    LAN	lan1〜lan2 + '*'
    WAN	wan1
    PP	1〜30＋'*'
    TUNNEL	1〜4＋'*'
    *	LAN、WAN、PP、TUNNELを含む全てのインターフェース

  
  
• トリガの検出について

  最初のトリガを検出してから、mail templateコマンドのnotify-wait-timeオプションで指定した時間内に検出した不正アクセスについては、一通のメールにまとめて通知されます。
  また、mail templateコマンドで設定した待機時間（notify-wait-timeオプション）内に、mail notify trigger intrusionコマンドで同じテンプレートIDを指定している他のトリガが発生した場合は、その期間内に検出した全てのトリガが同一のメールで通知されます。

  不正アクセスが頻発する場合は、以下の手順で通知されるメールの数を抑制することができます。

  • mail templateコマンドで設定した待機時間（notify-wait-timeオプション）を長くする。(最大で86400秒＝24時間)
  • ip I/F intrusion detection repeat-controlコマンドで、同じホストに対する同じ攻撃の種類を通知する期間を抑制する。
  
  
• 手動実行について

  手動実行によって不正アクセス検知のメールを送信するコマンドには対応しません。

GUI

ここではSRT100、RTX1200のGUIについて説明します。

1. メール通知機能 メイン画面

メイン画面の「通知内容の設定」にセレクトメニューを追加し、"状態メール通知"の設定画面、および"不正アクセス検知"の設定画面を選択して移動できるようにします。

2. 不正アクセス検知時のメール通知機能 設定画面

上図で設定するコマンドは以下。

• mail notify ID TEMPLATE_ID trigger intrusion IF_I [IF_I_NUM] DIR_I [IF_I [IF_I_NUM] DIR_I [...]]
• mail template TEMPLATE_ID SERVER_ID "From: ADDRESS" "To:ADDRESS" ["Subject: SUBJECT"] ["Date: DATE"] ["MIME-Version: VERSION"] ["Content-Type: CONTENT_TYPE"] [notify-log=SW] [notify-wait-time=SEC]

"通知内容"で表示される内容は、以下の動作に従います。

• 現在有効になっているインターフェースのみを表示します。(ただし、VLAN、LAN分割はGUIでは未対応)
• ip I/F intrusion detectionコマンドで指定されていないインターフェースは、非表示となります。
• "全てのLAN"にチェックを入れると、LAN1, 2 ...のチェックボックスにチェックが入ります。チェックを外すと、LAN1, 2 ...のチェックボックスのチェックが外れます。PP、TUNNELの場合も同様です。

コマンド

• トリガによるメール通知機能のコマンドをご覧ください。

設定例

不正アクセス検知、メールサーバー、メールテンプレートおよびトリガの設定を行います。
設定が完了した後、不正アクセス検知機能によって不正アクセスが検知されると同時にメールが通知されます。

ip lan1 intrusion detection in on
mail server name 1 (サーバー名)
mail server smtp 1 (SMTPサーバーのアドレス)
mail template 1 1 From:(送信元メールアドレス) To:(送信先メールアドレス) Subject:(サブジェクト名)
mail notify 1 1 trigger intrusion lan1 in


例）
Model: SRT100
Revision: Rev.10.00.27
Name: yamaha-srt100-00a0de07fc07
Time: 2007/10/23 08:58:53
Template ID: 1

ID   時刻                インタフェース    不正アクセス検知内容
------------------------------------------------------------------------------
0001 2007/10/23 08:58:53        LAN1 [ in] ICMP too large
                                           (192.168.100.2   -> 192.168.100.1  )