IPFire Fortifies Against SYN Flood Attacks with New Protection Feature
2024/07/22 SecurityOnline — 深刻化するサービス拒否 (DoS:Denial-of-Service) 攻撃の脅威への対抗策として、オープンソース・ファイアウォール・ディストリビューションである IPFire が、企業ユーザー向けに SYN Flood Protection 機能を導入した。この革新的な機能により、不正な接続要求のフラッドでシステムを圧倒しようとする悪意の試みから、企業のデジタル・インフラを守ることが可能となる。
IPFire の SYN Flood Protection では、高度な SYN クッキー技術が採用されているため、本物のトラフィックと悪意のトラフィックを識別できる。TCP ハンドシェイク・プロセスを傍受/管理することで SYN パケットの猛攻撃が効果的にフィルタリングされ、DoS からのユーザー保護が達成される。
包括的な保護に対する IPFire の取り組みは、SYN Flood の導入のみに留まらない。IPFire が提供する多層防御戦略には、侵入防御システムやレート制限などの機能が組み込まれ、さまざまなサイバー脅威に対する耐性をさらに強化している。
昨今の DoS 攻撃では、しばしば大量の帯域幅が利用されていることから、Amazon の Graviton インスタンスと、Elastic Network アダプタのサポートを、IPFire は戦略的に統合している。それにより、毎秒数百ギガビットのトラフィックを処理できる、高性能なクラウド・ベースの DoS 防御ソリューションの展開が可能になる。
IPFireの広報担当者は、「IPFire は、Amazon の Graviton インスタンスをサポートしており、現在のネットワーク最適化世代に合わせて、最大で 200GBit/s (C7gn) のネットワーク帯域幅をサポートしている。IPFire が Amazon の Elastic Network アダプターをサポートすることで、このような広帯域幅の処理も問題なく行われる。それは、クラウドで独自の DoS 防御を構築するための完璧な組み合わせだ」と述べている。
IPFire は、サイバーセキュリティ分野におけるリーディング・プレイヤーとしての地位を確固たるものとし、オンライン・オペレーションを保護するための、手頃で信頼性の高い手段を企業に提供している。IPFire の包括的なセキュリティ機能は、オンプレミスでもクラウドでも安心感をもたらすため、破壊的なサイバー攻撃を恐れることなく、それぞれの企業は中核業務に集中できる。
文中でリンクが貼られている SYN クッキーと言う技術がポイントのようですね。そこで、Wikipediaで調べたところ、「SYN Cookie とは、SYN フラッド攻撃に対抗するために使用される技術のことである。この技術の主発明者である Daniel J. Bernstein は、”SYN Cookie は TCP サーバによる初期 TCP シーケンス番号の特定の選択” と定義している。SYN Cookie を使用すると、サーバは SYN キューが溢れたときの接続が切断を回避できる。追加の接続を保存する代わりに、SYN キュー・エントリは SYN+ACK 応答で送信されるシーケンス番号にエンコードされる。その後にサーバが、増分されたシーケンス番号を含むクライアントからの後続の ACK 応答を受信すると、サーバは TCP シーケンス番号にエンコードされた情報を使用して SYN キュー・エントリを再構築し、通常どおり接続を続行できる」と紹介されていました。この IPFire の取り組みが、DoS 攻撃に対する特効薬になるとよいですね。
IoT OT Security News 
You must be logged in to post a comment.