RTシリーズのIPパケット・フィルタに関するFAQ
IPアドレス・スプーフィング攻撃(ip spoofing)に対処するフィルタを教えて下さい。
新規作成日 | 1998/Jun/29 |
最終変更日 | 2018/Nov/06 |
文書サイズ | 6.8KB |
IPアドレス・スプーフィング攻撃(ip spoofing)に対処するフィルタを教えて下さい。
ip spoofing攻撃(Source Address Spoofing)とは、始点となるIPアドレスを偽造し、あたかも、 ネットワーク内部の通信であるかのように見せかけてくるものです。
プロバイダ接続などでは、内部で使用しているネットワーク(のIPアドレス)が 外に存在している筈はありません(もし存在していても通信はできない)ので、 IPパケットフィルタリングで落とします。
land攻撃やsmurf攻撃に対する防御のためのIPパケットフィルタは、
IPアドレス・スプーフィング攻撃(ip spoofing)のフィルタと
ほぼ同じものです。
land攻撃やsmurf攻撃は、始点IPアドレスや終点IPアドレスの偽造スタイルが
微妙に異なりますが、IPアドレス・スプーフィング攻撃(ip spoofing)が
基本になっているようです。
↓ … ip spoofing攻撃 : : ISDN回線,専用線 : +------------+ | RTシリーズ | ←IPパケットフィルタを設定 +-----+------+ | 133.176.200.0/24 ------+-------+-----------+-----------+--------------- | | | +---+---+ +---+---+ +---+---+ | 端 末 | | 端 末 | | 端 末 | +-------+ +-------+ +-------+ |
[ IPパケットフィルタによるip spoofing攻撃対策用設定例 ]
ip filter 60 reject 133.176.200.0/24 * * * * ip filter 100 pass * * * * * pp select N ip pp secure filter in 60 100 |
ip filter 60 reject 133.176.200.0/24 * * * * ip filter 100 pass * 133.176.200.0/24 * * * pp select N ip pp secure filter in 60 100 |
ip filter 60 reject 133.176.200.0/24 * * * * ip filter 61 reject 10.0.0.0/8 * * * * ip filter 62 reject 172.16.0.0/12 * * * * ip filter 63 reject 192.168.0.0/16 * * * * ip filter 100 pass * 133.176.200.0/24 * * * pp select N ip pp secure filter in 60 61 62 63 100 |
ip filter 60 reject 133.176.200.0/24 * * * * ip filter 61 reject 10.0.0.0/8 * * * * ip filter 62 reject 172.16.0.0/12 * * * * ip filter 63 reject 192.168.0.0/16 * * * * ip filter 70 reject * 133.176.200.0/24 * * * ip filter 71 reject * 10.0.0.0/8 * * * ip filter 72 reject * 172.16.0.0/12 * * * ip filter 73 reject * 192.168.0.0/16 * * * ip filter 99 pass 133.176.200.0/24 * * * ip filter 100 pass * 133.176.200.0/24 * * * pp select N ip pp secure filter in 60 61 62 63 100 ip pp secure filter out 70 71 72 73 99 |
[ 関連情報 ]
[ FAQ for RT-Series ]
[ FAQ for IP Packet Filter / files / TCP/IP ]