ネットワークエンジニア系ブログ。健康、エンターテイメント、映画・ドラマ、本、キッズ系、FXまで!お役立ち情報を紹介!

GOISBLOG

ネットワーク技術

BCP38に伴うuRPFの設定(Cisco、Juniper)

更新日:

BGP38にですごくいい話を聞きました。
今、いろんなところで頭を悩ませている偽装IPパケットの問題、そして、インターネットでのDoS攻撃の一つで送信元IPパケットの偽装をして行うものもあります。
それを解決する手段としてイングレスフィルタリング(ingress filtering)があるそうです。

これは送信元の偽装したIPパケットの転送そ防ぐ手段としてRFC2827 (BCP 38)で解説で解説されています。

これが何がすごいっていうと。


>>>>>>エンジニアおすすめサイト
⇒IT、WEB、プログラミングのキャリアアップを目指す方はオンラインで学べる
コードキャンプがおすすめです。

無料体験レッスンも受けることができますし、専門の講師がしっかりサポートもしてくれるので安心です。
しかも、初心者からこれからキャリアアップして転職を考えている方もしっかりとサポートしてくれます。
年収もアップするために次のステップに進みましょう!

送信元IPアドレスの詐称を防いでくれる!

これにより、詐称をしたIPアドレスでの攻撃を軽減できるんです。
また、すごいことが攻撃元を追跡できるようになるだって!!

ハンパねーな。マジでそんなことができるのか。
適当なこと言ってんじゃねーぞって思うくらいです。

ということで以下、URL。
RFCで書かれているからそれなりに効果はあるんだろうなぁ。。。

• IETFのBest Current Practice, RFC2827
https://tools.ietf.org/html/bcp38

スポンサーリンク


設定概要

  • パケットフィルタ
    〜言わなくてもわかる。
    許可するIPアドレスを設定し、それ以外は拒否。
  • uRPF strictモード
    これがすごい!
    〜経路情報(ルーティングテーブル)から送信元IPアドレスを確認
    〜そのインターフェース向けの経路に対する送信元IPアドレスであれば許可し、通過させる。
    ※これは顧客収容ルータ(送信元IPに近いルータ)に設定する必要あり。

uRPF 設定例

  • Cisco
    interface Gigabitethernet0/0
    ip verify unicast source reachable-via rx
    ipv6 verify unicast source reachable-via rx
  • Juniper
    interface ge-0/0/0 unit 0
    family inet { rpf-check; }
    family inet6 { rpf-check; }

マジでこれだけみたいです!
ひどすぎるくらい簡単すぎる設定!!

素晴らしい!!!!

まとめ

設定だけ見ても難しいことは無くすぐに反映できそうですが、やはり一度検証作業をしたうえで動作確認することが大前提ですね。


>>>>>> 今、IT業界でLinuxの資格は必須と言っていいほど重要になってきました。
リナックスアカデミーはITエンジニアとしての知識が学べ、卒業後の就職までサポートしてくれます。

将来のエンジニアを目指す方は無料資料があるので参考にしてください。


○エンジニアの道を目指すならこちらもおすすめです!
⇒ネットワークエンジニアへの技術手順書

⇒サーバーエンジニアへの構築手順書



この記事が気に入ったら
いいね!しよう

Twitter で



  • この記事を書いた人
  • 最新記事

ネットワークエンジニアとしてまた一児の父として仕事とブログ作成に奮闘中!
自分の身の回りにある興味、趣味をひたすらブログで書きまとめています!
私の子供も発達障害のこともあるので色々調べたことなどアップして少しはお役に立てたらと思っております!

-ネットワーク技術

Copyright© GOISBLOG , 2017 All Rights Reserved.