[index] CentreCOM AR550S コマンドリファレンス 2.9

IP/セキュリティー

  - ソースルートパケットフィルタリング
  - フラグメントオフセットフィルタリング
  - ディレクティドブロードキャストパケットフィルタリング

IP層でのセキュリティーオプションについて紹介します。なお、以下のオプションはデフォルトの状態が推奨設定です。明確な理由がない限り、設定を変更することはお勧めできません。したがって、以下は設定方法の説明というよりもセキュリティー機能の紹介としてお読みください。

ソースルートパケットフィルタリング

デフォルトでは、始点経路制御オプション付きのIPパケット（ソースルートパケット）は転送されずに破棄されます。IPの始点経路制御（ソースルーティング）オプションは通常使用されておらず、むしろ悪用される可能性のほうが高いため、デフォルト設定のままご使用ください。

■ ソースルートパケットの転送許可・不許可は、ENABLE IP SRCROUTEコマンド、DISABLE IP SRCROUTEコマンドで変更できます。


ENABLE IP SRCROUTE ↓

DISABLE IP SRCROUTE ↓

デフォルトは転送不許可（DISABLED）、すなわちソースルートパケットのフィルタリングが有効な状態です。前述の理由から、デフォルト設定のままご使用になることをお勧めします。

ソースルートパケットのフィルタリングが有効な場合（転送不許可の場合）は、始点経路制御オプション付きのIPパケットを受信すると、メッセージタイプ「IPFIL」でサブタイプ「SRCRT」のログメッセージが生成されます。

■ ソースルートパケットのフィルタリングが有効かどうかは、SHOW IPコマンドで確認できます。「Source-Routed Packets」が「Discarded」ならフィルタリングが有効（転送不許可）です（デフォルト設定）。フィルタリング無効時（転送有効時）は「Forwarded」と表示されます。

フラグメントオフセットフィルタリング

デフォルトでは、フラグメントオフセットが1のIPパケットは転送されずに破棄されます。これは、RFC1858で述べられているTiny Fragment攻撃やOverlapping Fragment攻撃を防ぐためです。デフォルト状態のままご使用ください。

Tiny Fragment攻撃は、先頭フラグメント（オフセット0）を最小サイズ（64ビット=8オクテット）にし、TCPの制御フラグを第2フラグメント（オフセット1）に送り込むことによって、Syn/Ackフラグによるパケットフィルタリングをかわそうとするものです。

一方、Overlapping Fragment攻撃では、先頭フラグメント（オフセット0）にTCPの制御フラグを入れますが、その際にフィルターを通過できるようなパターン（Syn=0、Ack=1）にフラグを設定しておきます。そして、第2フラグメントではオフセット値を1に設定し、再構成時に第1フラグメントの途中から先を上書きすることによって、パケットフィルタリングをかわそうとします。

■ フラグメントオフセットフィルタリングの有効・無効は、ENABLE IP FOFILTERコマンドとDISABLE IP FOFILTERコマンドで変更できます。


ENABLE IP FOFILTER ↓

DISABLE IP FOFILTER ↓

デフォルトではフィルタリングが有効です。上記の攻撃を防ぐため、デフォルト設定のままご使用になることをお勧めします。

フラグメントオフセットフィルタリングが有効な場合は、フラグメントオフセットが1のIPパケットを受信すると、メッセージタイプ「IPFIL」、サブタイプ「FRAG」のログメッセージが生成されます。

■ フラグメントオフセットフィルタリングが有効かどうかは、SHOW IPコマンドで確認できます。「IP Fragment Offset Filtering」が「Enabled」ならフィルタリングが有効です（デフォルト設定）。フィルタリング無効時は「Disabled」と表示されます。

ディレクティドブロードキャストパケットフィルタリング

デフォルトでは、配下のネットワークに対するサブネット/ネットワーク指定ブロードキャストは該当ネットワークに転送されません（ディレクティドブロードキャストフィルタリング）。ディレクティドブロードキャストパケットはサービス妨害（DOS）攻撃などで悪用される恐れがあるため、デフォルト状態のままご使用になることをお勧めします。

■ ディレクティドブロードキャストパケットフィルタリングの設定はIPインターフェースごとに行います。マルチホーミングを使用している場合は、論理インターフェースごとに設定できます。

ADD IP INTERFACEコマンド、SET IP INTERFACEコマンドのDIRECTEDBROADCASTパラメーターにOFFを指定するとフィルタリングが有効になります（デフォルト）。一方、ONを指定するとフィルタリングが無効になり、該当インターフェース配下のネットワークに対するブロードキャストパケットが転送されるようになります。


ADD IP INT=vlan1 DIRECTEDBROADCAST=ON ↓

SET IP INTERFACE=vlan1 DIRECTEDBROADCAST=OFF ↓

デフォルトではフィルタリングが有効です。前述の理由により、デフォルト設定のままご使用になることをお勧めします。

ディレクティドブロードキャストパケットのフィルタリングが有効な場合（転送不許可の場合）は、ディレクティドブロードキャストパケットを受信すると、メッセージタイプ「IPFIL」でサブタイプ「FRAG」のログメッセージが生成されます。

■ ディレクティドブロードキャストフィルタリングの設定はSHOW IP INTERFACEコマンドで確認できます。「DBcast」の項目が「No」ならフィルタリングが有効（転送しない）、「Yes」ならフィルタリングが無効（転送する）です。

PN: J613-M0710-03 Rev.K