ネットワークエンジニア系ブログ。エンターテイメント、おすすめ映画、本、キッズ系などお役立ち情報を紹介!

GOISBLOG

ネットワーク技術

BCP38に伴うuRPFの設定(Cisco、Juniper)

投稿日:2014年3月13日 更新日:

BGP38にですごくいい話を聞きました。
今、いろんなところで頭を悩ませている偽装IPパケットの問題、そして、インターネットでのDoS攻撃の一つで送信元IPパケットの偽装をして行うものもあります。
それを解決する手段としてイングレスフィルタリング(ingress filtering)があるそうです。

これは送信元の偽装したIPパケットの転送そ防ぐ手段としてRFC2827 (BCP 38)で解説で解説されています。

これが何がすごいっていうと。

送信元IPアドレスの詐称を防いでくれる!

これにより、詐称をしたIPアドレスでの攻撃を軽減できるんです。
また、すごいことが攻撃元を追跡できるようになるだって!!

ハンパねーな。マジでそんなことができるのか。
適当なこと言ってんじゃねーぞって思うくらいです。

ということで以下、URL。
RFCで書かれているからそれなりに効果はあるんだろうなぁ。。。

• IETFのBest Current Practice, RFC2827
https://tools.ietf.org/html/bcp38

スポンサーリンク


設定概要

  • パケットフィルタ
    〜言わなくてもわかる。
    許可するIPアドレスを設定し、それ以外は拒否。
  • uRPF strictモード
    これがすごい!
    〜経路情報(ルーティングテーブル)から送信元IPアドレスを確認
    〜そのインターフェース向けの経路に対する送信元IPアドレスであれば許可し、通過させる。
    ※これは顧客収容ルータ(送信元IPに近いルータ)に設定する必要あり。

uRPF 設定例

  • Cisco
    interface Gigabitethernet0/0
    ip verify unicast source reachable-via rx
    ipv6 verify unicast source reachable-via rx
  • Juniper
    interface ge-0/0/0 unit 0
    family inet { rpf-check; }
    family inet6 { rpf-check; }

マジでこれだけみたいです!
ひどすぎるくらい簡単すぎる設定!!

素晴らしい!!!!

まとめ

設定だけ見ても難しいことは無くすぐに反映できそうですが、やはり一度検証作業をしたうえで動作確認することが大前提ですね。

インフラ/ネットワークエンジニアのためのネットワーク技術&設計入門
みやた ひろし
SBクリエイティブ
売り上げランキング: 1,614

この記事が気に入ったら
いいね!しよう

Twitter で
スポンサーリンク

-ネットワーク技術

Copyright© GOISBLOG , 2016 AllRights Reserved.