FAQ - IPパケットフィルタ

Q

通常のIPフィルタとポリシールーティングは、どちらが優先されるのでしょうか?

A

同一インタフェースに設定されているパケットフィルタの場合、actionの種類(pass, block, forward)によらず、コンフィグ上の評価順位に従います。

※コンフィグで、上(先)に記載されているルールがより優先されます。

いずれかのフィルタ設定にマッチしたパケットはその時点で処理され、下位のフィルタの評価対象にはなりません。

Q

不正な送信元アドレスについておしえてください

A

一般に不正な送信元アドレスとして、以下のようなものが挙げられます。

  • (グローバルアドレス空間における)プライベートアドレス
  • インターネットで未割り当てのアドレス
  • 0.0.0.0 やマルチキャストアドレスなど特殊なアドレス

不正な送信元アドレスによる通信の発生原因としては、ソフトウェアの不具合に加え、 悪意のある攻撃者(ソフトウェアを含む)による送信元アドレスの詐称が考えられます。

攻撃者がワームの感染活動やDoS(サービス運用妨害)などを行う際に 身元の隠蔽を図ったり、防御対応を困難にするために、送信元アドレスを詐称することが少なからずあります。

Q

リモート(WAN側)からSEILへの設定操作を行えないようにできますか?

A

はい。SEILに対してTelnetやSecure Shell、HTTPでのアクセスができないようなIPフィルタの適用により可能です。

WAN側インタフェースがnumberedの場合

  • WAN側インタフェースにおいて、WAN側インタフェースおよびLAN側インタフェースに対する http(TCP:80)、telnet(TCP:23)、Secure Shell(TCP:22)の入力をblockします。

WAN側インタフェースがunnumberedの場合

  • WAN側インタフェースにおいて、エイリアス指定したアドレスおよびLAN側インタフェースに対する http(TCP:80)、telnet(TCP:23)、Secure Shell(TCP:22)の入力をblockします。

Q

ブリッジとIPパケットフィルタを併用できますか?

A

コンフィグに下記の設定を追加することで、ブリッジ構成に含まれるインタフェースにIPパケットフィルタが適用されます。

bridge filter on

Q

uRPFとは何ですか?

A

uRPF [Unicast Reverse Path Forwarding]とは、流入する送信元IPアドレスが本来の経路を辿ってきたか、ルータの経路情報と比較して確認する方法です。パケットの送信元IPアドレスから経路情報を検索して、得られた転送先のインタフェースとパケットが流入したインタフェースを比較してチェックします。

uRPFではルータの経路情報を利用して送信元アドレスの確認を行います。 このためルータの最新の経路情報が正しく保たれていれば、他の管理作業は生じないというメリットがあります。

例えば、ネットワークに変更が生じた場合にも、最新の経路情報に基づいたパケットフィルタリングが行われます。

Q

uRPFにはどのようなモードがありますか?

A

uRPFのチェック方法には、strictモード(厳密なモード)やlooseモード(緩やかなモード)など複数のモードがあります。

厳密なstrictモードでは、パケットの送信元IPアドレスへの経路と、パケットが流入したインタフェースが、完全に一致するか確認します。

緩やかなlooseモードでは、送信元IPアドレス向けの経路が存在しているか確認を行います。

Q

uRPFの各モードの使い分けについておしえてください

A

複数の接続回線で冗長化を図る場合など、ネットワーク構成により、上り下りの通信経路が非対称になることがあります。

こうしたケースでは、送信元 IP アドレスへの経路とパケットの流入するインタフェースが一致しないため、strictモードを用いると正しい送信元アドレスのパケットまで破棄してしまいます。 このような場合、looseモードを使います。

looseモードでは、送信元IPアドレスが経路情報に存在するパケットのみ通過させ、それ以外のパケットは破棄します。

例えば、一般に不正な送信元アドレスとされるプライベートアドレスや未使用アドレス、マルチキャストアドレスなど特殊なアドレスを送信元とするパケットは、判別・破棄できます。また、明らかに不正な送信元アドレスのパケットのみを破棄するため、通常の通信に対する影響がありません。

ただし、looseモードは、送信元アドレスが経路情報に存在する場合には、詐称されたアドレスであっても通過させるという欠点もあります。

Q

SEILは、通過(pass)ルールに登録したパケット以外を全て破棄(block)できますか?

A

SEILのIPフィルタ設定の最下行に、全パケットを破棄(block)するルールを登録することで、明示的に通過(pass)するパケット以外をすべて破棄できます。

Q

SEILのポリシールーティング機能とはどのようなものですか?

A

IPフィルタルールに合致したパケットを任意のIPアドレスに転送する機能です。経路表より優先して転送先を指定することができます。

Q

SEILのIPフィルタルールは何個まで設定できますか?

A

各機種の最大登録数は以下の通りです。

(IPv4,IPv6それぞれについて同一の最大数まで設定できます)

  • SEIL/X1: 1024個
  • SEIL/X2: 2048個
  • SEIL/B1: 512個
  • SEIL/Turbo: 1024個
  • SEIL/Plus: 512個

Q

SEILのIPフィルタルールにはどのような項目が指定できますか?

A

IPフィルタルールには、以下の各項目が指定可能です。

(*)は対応機種/ファームウェアのみ。

  • 動作(action): 条件に合致したパケットの通過(pass)、破棄(block)、転送(IPv4ポリシールーティング)(*)
  • インタフェース: LAN、WAN、PPPoE(*)、IPトンネル、VLAN、IPsec(*)各インタフェース
  • 方向:インタフェースへの入力、出力、入出力
  • プロトコル: TCP、TCP SYN、TCP established、UDP、TCPおよびUDP、ICMP、IPv6 ICMP、IGMP、プロトコル番号
  • アプリケーション毎プロトコル(*): Winny
  • 送信元IPアドレス/プレフィックス
  • 送信元ポート番号 (TCP、UDPポートのみ。範囲指定可能)
  • 送信先IPアドレス/プレフィックス
  • 送信先ポート番号(TCP、UDPポートのみ。範囲指定可能)
  • 動的フィルタ: 使用、不使用
  • 動的フィルタの有効時間
  • ログ: 取得の有無

Q

SEILにポリシールーティングを設定しても、なぜかパケットが中継されません

A

SEILにポリシールーティングを設定した後もパケットが中継されない場合、下記を確認します。

該当パケットがIPフィルタルールに合致しているか

パケットの中継先IPアドレスが経路表に登録されているか

ポリシールーティング用のIPフィルタルールに合致していても、パケットの中継先IPアドレスが経路表[Routing Table]に無ければ、 パケットの中継は行われません。

経路情報を"show status route"コマンドで参照表示して、経路表に中継先IPアドレスが存在しない場合、適切な経路を設定する必要があります。

Q

SEILでIPフィルタを適用していない通信が通過(pass)します。なぜですか?

A

SEILにIPフィルタルールが設定されていない場合、全てのパケットが通過(pass)します。また、SEILの工場出荷時設定では、IPフィルタルールが設定されていません。

このため、破棄(block)したい通信がある場合、IPフィルタルールを明示的に設定する必要があります。

Q

SEILでIPフィルタのログ取得をする(logging on)設定を行うと、動作はどのように変化しますか?

A

ログ取得をする(logging on)場合、IPフィルタルールに該当するパケットを検出するとログに出力します。 なお、通過(pass)ルールでログ取得を行うと、パケット転送能力が落ちる可能性があります。

Q

SEIL/X2のlan0インタフェース(スイッチポート)において、それぞれのポートに異なる IPパケットフィルタを適用できますか。

A

SEIL/X2のlan0インタフェースでは、L2スイッチポートとして機能しているため、それぞれのポートに対して異なるIPパケットフィルタを適用することはできません。

Q

SAVとはどのようなものですか?

A

SAV [Source Address Validation]とは、IPパケットの送信元が正当であるか検証する技術です。 不正な送信元アドレスからの無用な通信を抑制するために用いられます。

Q

SAV導入のメリットをおしえてください

A

SAVは通常の通信には影響を与えません。 このため、導入後も直接的な効果を強く実感することは無いかもしれません。

しかし、導入しておくことで、送信元IPアドレスを詐称するワームの感染活動やDoS攻撃による被害が未然に防げます。

全てのネットワークに適切なSAVが導入されると、理論上は、送信元IPアドレスの詐称を利用した攻撃がインターネットから根絶できます。なお、RFC2827 (BCP38)やRFC3704 (BCP84)では、全てのネットワーク管理者が協力して送信元IPアドレスの詐称を防ぐ事が推奨されています。

また、SAVはパケットの送信元に近ければ近いほど、本来無用な通信を早い段階で破棄できます。 送信元IPアドレスの詳細な確認が容易になります。 これにより、ネットワークに対する影響が軽減できます。

Q

SAVには、どのような方法を用いますか?

A

SAVには主にACLやuRPFという方法が用いられます。

Q

ACLについておしえてください

A

ACL [Access Control List]とは、ユーザの定義したフィルタルールを元にネットワークに対するパケット流入の可否を決める、 パケットフィルタリング機能のことです。

Q

SEILでACLは利用できますか?

A

SEILシリーズのIPフィルタ機能によりACLを利用できます。

Q

IPパケットフィルタ機能とNAT機能と併用する場合、IPフィルタルールで指定するアドレスはNAT変換前/変換後のどちらですか?

A

出力時はNAT変換前(プライベート側)のアドレス、入力時はNAT変換後(グローバルからプライベートへ変換後)のアドレスを指定してください。

Q

IPパケットフィルタを設定するにあたりポート番号はどのように調べればいいですか?

A

Well Known Port(ポート番号0-1023)やRegistered Port(ポート番号1024-49151)は、IANA[Internet Assigned Numbers Authority]が管理するリストで確認可能です。

http://www.iana.org/

その他のポート番号については、各アプリケーションのマニュアルなどを参考にするか、ネットワークモニタなどで調べる方法があります。

Q

"bridge filter on"を設定した場合、ポリシーベースルーティングも有効に機能しますか?

A

ブリッジインタフェースに適用されるフィルタでは、ポリシールーティングは動作しません。

(C) 2010 - 2017 Internet Initiative Japan Inc.