RTシリーズのIPパケット・フィルタに関するFAQ

smurf攻撃に対処するフィルタを教えて下さい。

• 攻撃のスタイル

  smurf attack(攻撃)から133.176.200.0/24のネットワーク機器を守る場合、 「ネットワークアドレス+オール0…network address」と 「ネットワークアドレス+オール1…directed broadcast address」を塞ぐ、 以下のようなフィルタで守ることができるでしょう。

• 自衛するネットワーク構成

  ↓ … smurf攻撃 : : ISDN回線,専用線 : +------------+ | RTシリーズ | ←smurf攻撃の防御措置が必要 +-----+------+ | 133.176.200.0/24 ------+-------+-----------+-----------+--------------- | | | +---+---+ +---+---+ +---+---+ | 端 末 | | 端 末 | | 端 末 | +-------+ +-------+ +-------+

• [ ip filter directed-broadcastコマンドを利用する ]

  ファームウェアをRev.3.00.30以降(RTA50iはRev.3.03.34以降)にリビジョンアップして、

  ip filter directed-broadcast on

  と設定してください。
  • パケットフィルタによる防御と実現できる内容は、同じ。
  • パケットフィルタとは、内部動作は異なる。
  • フィルタよりも意味を明確にできる
  • ルータが宛先IPアドレスをDirected broadcastと判断したものをすべて落すので、 設定を間違える可能性のあるフィルタより確実
  • アドレスの変更や、セカンダリアドレスを追加したりした時でも、 フィルタを変更しなくていい

[ IPパケットフィルタによるsmurf攻撃対策用設定例 ]

• IPパケットフィルタの設定例#1(本来の意図に対する防御)

  ip filter 21 reject * 133.176.200.0 * * * ip filter 22 reject * 133.176.200.255 * * * ip filter 23 pass * * icmp * * pp select N ip pp secure filter in .... 21 22 23 .......

• IPパケットフィルタの設定例#2(いろいろ兼ねる設定)
  • IPアドレス・スプーフィング攻撃(ip spoofing)に対する防御機能を兼ねる
  • land攻撃に対する防御機能を兼ねる
  • smurf攻撃に対する防御機能を兼ねる

  ip filter 60 reject 133.176.200.0/24 * * * * ip filter 100 pass * 133.176.200.0/24 * * * pp select N ip pp secure filter in 60 100

• IPパケットフィルタの設定例#3(外からプライベードアドレスでアクセスするは変だよね。
  • 外に同じグローバルアドレスネットワークがある訳ない。
  • 外にプライベトネットワークがある訳ない。

  ip filter 60 reject 133.176.200.0/24 * * * * ip filter 61 reject 10.0.0.0/8 * * * * ip filter 62 reject 172.16.0.0/12 * * * * ip filter 63 reject 192.168.0.0/16 * * * * ip filter 100 pass * 133.176.200.0/24 * * * pp select N ip pp secure filter in 60 61 62 63 100

• IPパケットフィルタの設定例#4(外に出てゆくパケットもケアしてあげよう.....)
  • 外に同じグローバルアドレスネットワークがある訳ない。
  • 外にプライベトネットワークがある訳ない。

  ip filter 60 reject 133.176.200.0/24 * * * * ip filter 61 reject 10.0.0.0/8 * * * * ip filter 62 reject 172.16.0.0/12 * * * * ip filter 63 reject 192.168.0.0/16 * * * * ip filter 70 reject * 133.176.200.0/24 * * * ip filter 71 reject * 10.0.0.0/8 * * * ip filter 72 reject * 172.16.0.0/12 * * * ip filter 73 reject * 192.168.0.0/16 * * * ip filter 99 pass 133.176.200.0/24 * * * ip filter 100 pass * 133.176.200.0/24 * * * pp select N ip pp secure filter in 60 61 62 63 100 ip pp secure filter out 70 71 72 73 99

[ トラブル対策 ]

• Rev.3.00.23〜28を利用しているが、ip filter directed-broadcastが 機能していない。

  Rev.3.00.23〜28では、ip filter directed-broadcastが 機能しておりません。
  Rev.3.00.30以降にリビジョンアップしてください。

[ 関連情報 ]

• http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/ip-filter-directed-broadcast.html
  directed broadcastパケットのフィルタリング
• http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/ip-spoofing-filter.html
  IPアドレス・スプーフィング攻撃(ip spoofing)に対処するフィルタを教えて下さい。
• http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/smurf-attack-filter.html
  smurf攻撃に対処するフィルタを教えて下さい。
• http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/land-attack-filter.html
  land攻撃に対処するフィルタを教えて下さい。

[ 関連リリースノート ]

• Rev.3.00.23(ip filter directed-broadcast)
• Rev.3.00.30(Rev.3.00.23〜28で動作していなかった)
• Rev.3.03.34 (RTA50i: ip filter directed-broadcast)

[ 関連RFC ]

• RFC1812 (Requirements for IP Version 4 Routers)
• RFC2644 (Changing the Default for Directed Broadcasts in Routers)

[ FAQ for RT-Series ]
[ FAQ for IP Packet Filter / files / TCP/IP ]