- - PR -
IP転送、禁止してるのに・・・
1
| 投稿者 | 投稿内容 |
|---|---|
|
投稿日時: 2003-10-29 18:07
こんばんは。トーヤと申します。
今回、IPスプーフィング対策を練っているのですが、 「マルチホームシステム上で、且つIP転送を禁止している環境で IPスプーフィング対策が必要」 と捉えられる記述があるマニュアルにありました。 その記述は以下の通りです。 -------------------------------- 宛先限定マルチホーミング(Strict Destination Multihoming)は、 IP転送を行わないマルチホームシステム上でのパケットスプーフィングを防止します。 IP フォワーディングが無効で宛先限定マルチホーミングが有効なシステムでは、 そのインタフェースからパケットが到着したことがないインタフェースに送信された パケットを無視します。マルチホームサーバに接続し、パケットを転送しない ネットワーク宛てのパケットを攻撃者が作成しないようにします。 このシステムは、パケットがどのインタフェースに到着するかを認識します。 別のインタフェースに接続しているネットワークからのように見える場合は、 そのパケットはドロップされます。 -------------------------------- ここで質問させてください。浅はかな考え方かもしれないのですが、 「IP転送を禁止している環境なんだからパケットスプーフィングが発生しても どのみち転送されないんじゃないか?だから宛先限定マルチホーミングを有効に する必要性なんか無いんじゃないか??」 と思っております。この考え方、どこが誤っておりますでしょうか? 私、宛先限定マルチホーミングを勘違いしてしまっておりますでしょうか? どなたかご存知の方、教えていただけますか?お願いします。 |
|
投稿日時: 2003-10-30 21:47
ども、BASEと申します。
こう考えた場合はいかがでしょうか? まず、IP転送(IPフォワーディング)を --------- | --------- | LAN A ----> LAN B | --------- | --------- と、あるセグメントから、別のセグメントへ移動することとします。 その場合、IP転送を行わない(禁止)ということは、 LAN A内(192.168.1.0/24と仮定)のみの通信、 言い換えれば、 「”送信元”が192.168.1.0/24の通信のみが、LAN A内で行われている」 と言えます。 IPスプーフィングは、 「攻撃元を隠ぺいするために、偽の送信元IPアドレスを持ったパケットを作成し送ること。」 (@IT セキュリティ用語辞典より) よって、IP転送を行わない場合であっても、 --------- | --------- | LAN A <---- LAN B | --------- | --------- で、送信元がLAN A内(192.168.1.0/24)であるかのように偽造すれば、 LAN Aの境界のNICは、 --------- | --------- | LAN A <-| LAN B | --------- | --------- と、IPスプーフィング攻撃に、だまされる可能性があるわけです。 以上のように、IP転送を行わない(禁止)設定であっても、 IPスプーフィング攻撃が成功する可能性があることを考えれば、 さらに一歩進めた「宛先限定マルチホーミング」は意味のある設定ではないでしょうか? 自分で書いていても、こじつけっぽい気がしますが、 こんな解釈はいかがですか? |
|
投稿日時: 2003-10-31 10:26
BASEさん、いつも分かりやすいご返答をくださって
ありがとうございます! 今回いただいたご回答、ボクにとってとても納得のいくものでした! まさに「成る程ー!!」って感じでした。 それにしても、「このインターフェースからこの送信元アドレスの パケットが届くわけがない!」って判断してドロップする当機能、 頭がいいなぁ〜なんて思ったりしてます。 きっとルーティングテーブル上の情報を利用して判断するんでしょうね〜。 (って私、誤解しておりません?) |
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。