Cisco NX-OS Security コンフィギュレーション ガイド Release 4.0
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年5月28日
章のタイトル: ユニキャスト RPF の設定
ユニキャスト RPF の設定
ユニキャスト RPF の概要
ユニキャスト RPF 機能を使用すると、検証可能な IP 送信元アドレスがない IP パケットを廃棄する方法で、不正なまたは偽造された(スプーフされた)IP 送信元アドレスがネットワークに導入されることによる問題を軽減できます。たとえば、Smurf や Tribal Flood Network (TFN)など、いくつかの一般的なサービス拒絶型攻撃は、偽造の送信元 IP アドレスやすぐに変更される送信元 IP アドレスを利用して、攻撃を突き止めたりフィルタリングしたりする手段を妨げます。ユニキャスト RPF は、送信元アドレスが有効で、IP ルーティング テーブルと一致するパケットだけを転送することにより、攻撃を回避することができます。
インターフェイスのユニキャスト RPF をイネーブルにすると、デバイスはそのインターフェイスで受信したすべての入力パケットを検査し、送信元アドレスと送信元インターフェイスがルーティング テーブルにあり、パケットを受信したインターフェイスと一致することを確認します。この送信元アドレス検査は Forwarding Information Base(FIB)に依存しています。
(注) ユニキャスト RPF は入力機能であり、接続のアップストリーム エンドのデバイスの入力インターフェイスのみに適用されます。
ユニキャスト RPF は、FIB のリバース ルックアップを実行することにより、デバイス インターフェイスでの受信パケットがそのパケットの送信元への最良リターン パスで着信することを確認します。最良のリバース パス ルートからパケットが受信されると、そのパケットは通常どおりに転送されます。パケットを受信したインターフェイス上にリバース パス ルートがない場合、攻撃者によって送信元アドレスが変更される可能性があります。ユニキャスト RPF がパケットのリバース パスを見つけることができないと、そのパケットはドロップされます。
(注) ユニキャスト RPF では、コストが等しいすべての「最良」リターン パスが有効とみなされます。つまり、複数のリターン パスが存在していても、各パスのルーティング コストが他のパスと等しく、そのルートが FIB 内にある限り、ユニキャスト RPF は機能します。ユニキャスト RPF は、Enhanced IGRP(EIGRP)バリアントが使用されていて、送信元 IP アドレスに戻る同等でない候補パスが存在する場合にも機能します。
ユニキャスト RPF プロセス
ユニキャスト RPF には、キーの実装原則がいくつかあります。
•
パケットは、パケットの送信元への最良リターン パス(ルート)があるインターフェイスで受信される必要があります。このプロセスを 対称ルーティング といいます。FIB に受信インターフェイスへのルートと一致するルートが存在する必要があります。スタティック ルート、ネットワーク文、ダイナミック ルーティングによって FIB にルートが追加されます。
• 受信インターフェイスの IP 送信元アドレスがそのインターフェイスのルーティング エントリと一致しなければなりません。
• ユニキャスト RPF は入力機能であり、接続のアップストリーム エンドのデバイスの入力インターフェイスのみに適用されます。
ダウンストリーム ネットワークにインターネットへの他の接続があっても、ダウンストリーム ネットワークにユニキャスト RPF を使用できます。
(注) 攻撃者が送信元アドレスへの最良パスを変更する可能性があるので、加重やローカル プリファレンスなどのオプションの BGP アトリビュートを使用する際には、十分に注意してください。変更によってユニキャスト RPF の動作に影響が生じます。
ユニキャスト RPF と ACL を設定したインターフェイスでパケットが受信されると、NX-OS ソフトウェアは次の動作を行います。
ステップ 1 インバウンド インターフェイスで入力 ACL をチェックします。
ステップ 2 ユニキャスト RFP を使用し、FIB テーブル内のリバース ルックアップを実行することにより、そのパケットが送信元への最良リターン パスで着信したことを確認します。
ステップ 3 パケットの転送を目的として FIB ルックアップを実行します。
ステップ 4 アウトバウンド インターフェイスで出力 ACL をチェックします。
インターフェイス単位の統計情報
Cisco NX-OS ソフトウェアがインターフェイスでパケットをドロップしたり転送したりするたびに、その情報がそのデバイス全体、およびユニキャスト RPF を適用した各インターフェイス単位でカウントされます。ドロップされたパケットのグローバル統計からは、ネットワーク上での攻撃の可能性に関する情報を得ることができます。しかし、攻撃の送信元となるインターフェイスの特定にはグローバル統計は役立ちません。
インターフェイス単位の統計情報を使用すると、不正なパケットに関して、次の 2 種類の情報を追跡できます。
ユニキャスト RPF がドロップしたパケット数に関する統計情報は、攻撃の入口となるインターフェイスの特定に役立ちます。ユニキャスト RPF のドロップ カウントによって、そのインターフェイス上のドロップ数を追跡できます。
ユニキャスト RPF のドロップ抑制カウントでは、ユニキャスト RPF のチェックでは合格しなかったにも関わらず、ACL の許可設定によって転送されたパケットの数を追跡できます。ドロップ カウントとドロップ抑制カウントの統計情報は、特定のインターフェイスでの攻撃の隔離に役立ちます。
ヒント ACL ロギング情報を使用すると、ユニキャスト RPF がドロップしているアドレスを特定することもできます。
バーチャライゼーション サポート
ユニキャスト RPF の設定および動作は、各 Virtual Device Context(VDC)に固有です。VDC の詳細については、『 Cisco NX-OS Virtual Device Context Configuration Guide, Release 4.0 』を参照してください。
ユニキャスト RPFのライセンス要件
|
|
|
|---|---|
ユニキャスト RPFにはライセンスは必要ありません。ライセンス パッケージに含まれていない機能は、Cisco NX-OS システム イメージにバンドルされており、追加料金なしで利用できます。NX-OS のライセンス スキームに関する詳細は、『 Cisco NX-OS Licensing Guide, Release 4.0 』を参照してください。 |
注意事項および制約事項
ユニキャスト RPF に関する注意事項と制約事項は次のとおりです。
• ユニキャスト RPF は、ネットワーク内のより大きな部分からのダウンストリームのインターフェイスで適用する必要があります(ネットワークのエッジに適用するのが望ましい)。
• なるべくダウンストリームでユニキャスト RPF を適用する方が、アドレス スプーフィングの軽減やスプーフされたアドレスの送信元の特定の精度が高くなります。たとえば、集約デバイスにユニキャスト RPF を適用すると、多くのダウンストリーム ネットワークまたはクライアントからの攻撃を軽減できるとともに、管理が簡単になりますが、攻撃の送信元を特定することはできません。ネットワーク アクセス サーバにユニキャスト RPF を適用すると、攻撃の範囲を限定し、攻撃の送信元をトレースできますが、多くのサイトにユニキャスト RPF を配布するため、ネットワーク運用の管理コストが増大します。
• インターネット、イントラネット、およびエクストラネットのリソース全体でユニキャスト RPF を配布するエンティティが多いほど、インターネット コミュニティを通じた大規模なネットワークの中断が軽減される可能性が高くなり、攻撃の送信元をトレースできる可能性も高くなります。
• ユニキャスト RPF は、Generic Routing Encapsulation(GRE; 総称ルーティング カプセル化)トンネルのようなトンネルでカプセル化された IP パケットは検査しません。トンネリングとカプセル化のレイヤ がパケットから除かれてからユニキャスト RPF がネットワーク トラフィックを処理するように、ホーム ゲートウェイにユニキャスト RPF を設定する必要があります。
• ユニキャスト RPF は、ネットワークからのアクセス ポイントが 1 つだけ、またはアップストリーム接続が 1 つだけの「単一ホーム」環境で使用できます。アクセス ポイントが 1 つのネットワークは対称ルーティングを提供します。これはつまり、パケットがネットワークに入るインターフェイスはその IP パケットの送信元への最良リターン パスでもあるということです。
• ネットワーク内部のインターフェイスにはユニキャスト RPF を使用しないでください。内部インターフェイスは、ルーティングを非対称にする可能性が高く、パケットの送信元へのルートが複数存在する場合が多いからです。ユニキャスト RPF を設定するのは、元々対称であるか、対称に設定されている場合だけにしてください。
• ユニキャスト RPF を使用すると、送信元が 0.0.0.0 で宛先が 255.255.255.255 のパケットを通過させて、Bootstrap Protocol(BOOTP; ブートストラップ プロトコル)と DHCP を正しく動作させることができます。
(注) Cisco IOS CLI の知識があるユーザは、この機能の Cisco NX-OS コマンドは Cisco IOS コマンドと異なることがあるので注意してください。
ユニキャスト RPF の設定
入力インターフェイスに次のいずれかのユニキャストRPF モードを設定できます。
ユニキャスト RPF 厳格モード ― 厳格モードでは、ユニキャスト RPF が FIB で一致するパケット送信元アドレスを見つけて、パケットを受信した入力インターフェイスが FIB 内のユニキャスト RPF インターフェイスのどれかと一致した場合に、チェックに合格します。チェックに合格しないと、パケットは廃棄されます。このタイプのユニキャスト RPF チェックは、パケット フローが対称であると予想される場合に使用できます。
ユニキャスト RPF 緩和モード ― 緩和モードでは、FIB でのパケット送信元アドレスのルックアップで一致が戻り、FIB の結果からその送信元が少なくとも 1 つの実インターフェイスで到達可能であることが示されれば検査に合格します。パケットを受信した入力インターフェイスが FIB 内のインターフェイスのどれかと一致する必要はありません。
作業を開始する前に
手順の概要
2. interface ethernet slot / port
3. ip verify unicast source reachable-via { any [ allow-default ] | rx }
5. show ip interface ethernet slot / port
詳細な手順
ユニキャスト RPF の設定の確認
ユニキャスト RPF の設定情報を表示するには、次のいずれかの作業を行います。
|
|
|
|---|---|
これらのコマンドの出力フィールドについての詳細は、『 Cisco NX-OS Unicast Routing Command Reference, Release 4.0 』を参照してください。
ユニキャスト RPF の設定例
デフォルト設定
表19-1 に ユニキャスト RPF パラメータのデフォルト設定値を示します。
|
|
|
|---|---|
その他の参考資料
ユニキャスト RPF の実装に関する詳細情報については、次を参照してください。
• 「関連資料」
関連資料
|
|
|
|---|---|
フィードバック