- - PR -
IP転送、禁止してるのに・・・
1
投稿者 | 投稿内容 |
---|---|
|
投稿日時: 2003-10-29 18:07
こんばんは。トーヤと申します。
今回、IPスプーフィング対策を練っているのですが、 「マルチホームシステム上で、且つIP転送を禁止している環境で IPスプーフィング対策が必要」 と捉えられる記述があるマニュアルにありました。 その記述は以下の通りです。 -------------------------------- 宛先限定マルチホーミング(Strict Destination Multihoming)は、 IP転送を行わないマルチホームシステム上でのパケットスプーフィングを防止します。 IP フォワーディングが無効で宛先限定マルチホーミングが有効なシステムでは、 そのインタフェースからパケットが到着したことがないインタフェースに送信された パケットを無視します。マルチホームサーバに接続し、パケットを転送しない ネットワーク宛てのパケットを攻撃者が作成しないようにします。 このシステムは、パケットがどのインタフェースに到着するかを認識します。 別のインタフェースに接続しているネットワークからのように見える場合は、 そのパケットはドロップされます。 -------------------------------- ここで質問させてください。浅はかな考え方かもしれないのですが、 「IP転送を禁止している環境なんだからパケットスプーフィングが発生しても どのみち転送されないんじゃないか?だから宛先限定マルチホーミングを有効に する必要性なんか無いんじゃないか??」 と思っております。この考え方、どこが誤っておりますでしょうか? 私、宛先限定マルチホーミングを勘違いしてしまっておりますでしょうか? どなたかご存知の方、教えていただけますか?お願いします。 |
|
投稿日時: 2003-10-30 21:47
ども、BASEと申します。
こう考えた場合はいかがでしょうか? まず、IP転送(IPフォワーディング)を --------- | --------- | LAN A ----> LAN B | --------- | --------- と、あるセグメントから、別のセグメントへ移動することとします。 その場合、IP転送を行わない(禁止)ということは、 LAN A内(192.168.1.0/24と仮定)のみの通信、 言い換えれば、 「”送信元”が192.168.1.0/24の通信のみが、LAN A内で行われている」 と言えます。 IPスプーフィングは、 「攻撃元を隠ぺいするために、偽の送信元IPアドレスを持ったパケットを作成し送ること。」 (@IT セキュリティ用語辞典より) よって、IP転送を行わない場合であっても、 --------- | --------- | LAN A <---- LAN B | --------- | --------- で、送信元がLAN A内(192.168.1.0/24)であるかのように偽造すれば、 LAN Aの境界のNICは、 --------- | --------- | LAN A <-| LAN B | --------- | --------- と、IPスプーフィング攻撃に、だまされる可能性があるわけです。 以上のように、IP転送を行わない(禁止)設定であっても、 IPスプーフィング攻撃が成功する可能性があることを考えれば、 さらに一歩進めた「宛先限定マルチホーミング」は意味のある設定ではないでしょうか? 自分で書いていても、こじつけっぽい気がしますが、 こんな解釈はいかがですか? |
|
投稿日時: 2003-10-31 10:26
BASEさん、いつも分かりやすいご返答をくださって
ありがとうございます! 今回いただいたご回答、ボクにとってとても納得のいくものでした! まさに「成る程ー!!」って感じでした。 それにしても、「このインターフェースからこの送信元アドレスの パケットが届くわけがない!」って判断してドロップする当機能、 頭がいいなぁ〜なんて思ったりしてます。 きっとルーティングテーブル上の情報を利用して判断するんでしょうね〜。 (って私、誤解しておりません?) |
1