BGP38にですごくいい話を聞きました。
今、いろんなところで頭を悩ませている偽装IPパケットの問題、そして、インターネットでのDoS攻撃の一つで送信元IPパケットの偽装をして行うものもあります。
それを解決する手段としてイングレスフィルタリング(ingress filtering)があるそうです。
これは送信元の偽装したIPパケットの転送そ防ぐ手段としてRFC2827 (BCP 38)で解説で解説されています。
これが何がすごいっていうと。
送信元IPアドレスの詐称を防いでくれる!
これにより、詐称をしたIPアドレスでの攻撃を軽減できるんです。
また、すごいことが攻撃元を追跡できるようになるだって!!
ハンパねーな。マジでそんなことができるのか。
適当なこと言ってんじゃねーぞって思うくらいです。
ということで以下、URL。
RFCで書かれているからそれなりに効果はあるんだろうなぁ。。。
• IETFのBest Current Practice, RFC2827
https://tools.ietf.org/html/bcp38
設定概要
- パケットフィルタ
〜言わなくてもわかる。
許可するIPアドレスを設定し、それ以外は拒否。 - uRPF strictモード
これがすごい!
〜経路情報(ルーティングテーブル)から送信元IPアドレスを確認
〜そのインターフェース向けの経路に対する送信元IPアドレスであれば許可し、通過させる。
※これは顧客収容ルータ(送信元IPに近いルータ)に設定する必要あり。
uRPF 設定例
- Cisco
interface Gigabitethernet0/0 ip verify unicast source reachable-via rx ipv6 verify unicast source reachable-via rx
- Juniper
interface ge-0/0/0 unit 0 family inet { rpf-check; } family inet6 { rpf-check; }
マジでこれだけみたいです!
ひどすぎるくらい簡単すぎる設定!!
素晴らしい!!!!
まとめ
設定だけ見ても難しいことは無くすぐに反映できそうですが、やはり一度検証作業をしたうえで動作確認することが大前提ですね。
それでは!
エンジニアのオンライン学習
ITエンジニアにおすすめの教材、オンラインスクールです。
無料からエンジニアの学習ができる教材などまとめているので参考にしてください。
| おすすめオンライン教材 | |
| 自宅で学習ができるオンラインスクール | |
ITエンジニアの開発・検証・学習としてインターネット上で専用のサーバ(VPS)を利用しましょう!
実務経験はVPSで学べます。
コメントを残す