JANOG Comment 1004 馬渡 将隆 日本インターネットエクスチェンジ株式会社 2010/08/01 xSP のルータにおいて設定を推奨するフィルタの項目について 〜 ルータ自身へのアクセス編 〜 0. 本文書について この文書は、JANOG Comment 1000 の子文書です。 1. 概要 この文書では、自ネットワークで運用をしているルータ自身へのアクセス に対するフィルタについて扱う。 ルータ自身へのアクセス部分では、ルータの運用や管理をする為に、ルー タで動かしているサービスへのアクセス制限が主になり、この部分について 設定ミスや設定不足があった場合には、ルータの不正ログインと言う最悪の 事態につながる恐れがあるので、基本中の基本として間違いが無いように設 定をしておく必要がある。 2. 最低限、設定をする事が推奨されるフィルタ 2-1. パケットフィルタ 2-1-1. Ingress のパケットフィルタ [1] ルータで動かしている以下のサービスについて、アクセスが可能な Source アドレスを限定して、限定した Source アドレスからのパ ケットのみを accept する - telnet - ssh - snmp (ReadOnly / ReadWrite) - ftp - tftp - ntp ※ 利用をしていない不必要なサービスについては、サービスの停止 をすべきである (例) NOC のネットワークからのみアクセスを可能にするか、もしく は、アクセスが可能なホストを最小限に限定する [2] eBGP および iBGP の Neighbor アドレスが Source アドレスとな っている BGP (179/TCP) パケットのみを accept する 2-1-2. Egress のパケットフィルタ - 特に無し - 3. (運用者、ルータの) リソースにより設定を考慮するフィルタ 3-1. パケットフィルタ 3-1-1. Ingress のパケットフィルタ [1] ルータのインターフェースに設定をしているアドレスが Destination アドレスとなっている icmp パケットの処理優先度を 低くしたり、icmp パケットのデータサイズによって accept また は reject をする (例 : 512 Bytes 以上は reject する) - 長所 : ルータ宛に大量の icmp アタックパケットが来た場合に、 ルータの過負荷が発生する事を防ぐ事が可能 - 短所 : 顧客などが icmp パケットの優先度を低くしたルータを経 由する traceroute などをした場合、遅延が発生している ように見えてしまう事がある 3-1-2. Egress のパケットフィルタ - 特に無し - 3-2. フィルタの運用を軽減する為に有効な技術 3-2-1. System Protection ACL (IP Receive ACL, Loopback0 ACL) - 概要 : ルータのリソース (ルーティングプロセッサなど) を保護 する為のフィルタ技術 - 効果 : ルータ自身に対する攻撃パケットの対策の為に有効となる 4. 謝辞 この文書の作成にあたっては、非常に多くの方からのご協力とサポートが 不可欠なものでした。 まず、Interdomain Routing Security Workshop の参加者の皆様、および JANOG メーリングリストのメンバーの皆様に感謝を致します。 皆様からのご意見とご提案はこの文書をまとめていく為にとても重要なもの でした。中でも、石田慶樹様、高田寛様、西野大様、吉野誠吾様からは発表 の会場において多くのご意見をいただきました。 このような技術文書では、実際にネットワークの運用実務を経験されている 方からの助言がなによりの支援だと実感しております。 この文書を作成する機会を与えていただき、文書作成の為に貴重な時間を 割いていただいた近藤邦昭様、吉田友哉様、仲西亮子様に感謝を致します。 近藤邦昭様からは、技術面での助言はもちろん、文書の構成についての助言 もしていただきました。 藤井秀雄様にも感謝を致します。藤井様には、この文書を分かりやすくす る為の図の作成をしていただきました。 最後に、この文書の発表にあたって、業務の時間を割いて発表のレビュー に協力をしていただいた株式会社ドリーム・トレイン・インターネットのネ ットワーク運用メンバーに感謝を致します。 5. この文書の作成にあたり、参考にさせていただいた文献 以下の文献を参考にして、本文書を作成しています。 1. The Team Cymru Documents http://www.team-cymru.org/ReadingRoom/Documents/ 1.1. Bogon List http://www.cymru.com/Documents/bogon-list.html 1.2. Secure BGP Template http://www.team-cymru.org/ReadingRoom/Templates/secure-bgp-template.html 1.3. Secure IOS Template http://www.cymru.com/Documents/secure-ios-template.html 1.4. Secure JunOS Template http://www.cymru.com/gillsr/documents/junos-template.pdf 2. Cisco ISP Resource ftp://ftp-eng.cisco.com/cons/isp/ 6. その他に有益な文献 本文書を参照するにあたり、以下の文献もあわせて参照をする事をお勧め します。 1. RFC2827 - Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing http://www.ietf.org/rfc/rfc2827.txt 2. RFC5735 - Special Use IPv4 Addresses http://www.ietf.org/rfc/rfc5735.txt ※ RFC5735 の中に記載されているアドレスの一覧はフィルタで reject をすべきアドレスの一覧とは異なります。 3. RFC3704 - Ingress Filtering for Multihomed Networks http://www.ietf.org/rfc/rfc3704.txt 4. JANOG Comment 1000 - xSP のルータにおいて設定を推奨するフィルタ の項目について http://www.janog.gr.jp/doc/janog-comment/jc1000.txt 7. 著者 氏名 : 馬渡 将隆 [MAWATARI Masataka] 所属 : 日本インターネットエクスチェンジ株式会社 EMail : mawatari@jpix.ad.jp 8. 免責事項 本文書によって発生した損失や損害について、著者は一切責任を負いませ ん。 9. この文書の配布に関して 本文書の再配布や転載は内容に関して一切の変更を加えないと言う条件で 許可をします。 以上 ---------------------------------------------------------------------- 更新履歴 ---------------------------------------------------------------------- 日付 : 2005/09/09 - 文書公開 日付 : 2010/08/01 - 「5. この文書の作成にあたり、参考にさせていただいた文献」 にある 「The Team Cymru Documents」 の URL を変更 - 「5. この文書の作成にあたり、参考にさせていただいた文献」 にある 「Secure BGP Template」 の URL を変更 - 「6. その他に有益な文献」 にある 「RFC3330 - Special-Use IPv4 Addresses」 を削除 - 「6. その他に有益な文献」 に 「RFC5735 - Special Use IPv4 Addresses」 を追記 - 「7. 著者」 にある 「所属」 と 「EMail」 を更新 ----------------------------------------------------------------------