第5回 OSPFトポロジでまさかのループが発生!? その理由は
(OSPF:問題提起編)


草場 英仁
三井物産セキュアディレクション株式会社

中村 光宏
サイバーディフェンス研究所
上級分析官
2008/7/16

 原因特定と対処

「分かったよ。なるほどね」

 まだ不審そうな顔をしている坂本さんに向き直り、説明します。

「ルータIDが重複していたことが原因で、相互のOSPFが正常にネイバルータを確立できていなかったんだ」

 今回の場合は、ルータID(Router-ID)が同じ値で重複していました。すると、該当するルータ間でルータIDを取り合おうとし続けることになるのです。

 坂本さんへの説明を続けます。OSPFでは、設定するに当たり、ルータIDを一意に設定する必要があります。

「坂本さんは、社内ネットワークのテンプレート設定を参考にしたということだったけど、ルータIDを一意にする必要があるところまで注意してた?」

「いえ、それは知りませんでした」

 うん、やはりそこが原因だね。実際、新規ルータ(Router_3)の設定を見てみると、確かにルータ2(Router_2)と、ルータIDが重複していたことが分かります。

「それじゃ、もう一度新しいルータの設定を見直そうか」

 設定をやり直すことにして、Router_3で以下の作業を行うよう指示します。

「まず、現在のOSPFデータベースを初期化する必要があるね」

 設定は以下のように行います。

▽イネーブルモード

Router_3#clear ip ospf process

Reset ALL OSPF processes? [no]: yes

Router_3#

 その上で設定を編集し直します。

▽イネーブルコンフィグレーションモード

Router_3(config)#

Router_3(config)#router ospf 1

Router_3(config-router)#router-id 3.3.3.3

確認と補足

「これでさっきの症状は発生しないはずだよ。もう一度接続をしてみようか」

「ええええ、怖いです!」

 そんなこといわないの。ちょっと先輩風を吹かせてみます。

画面8 正常なOSPFの動作が確認された

 Wiresharkでパケットを監視しながら、ルータの接続を行います。案の定、各ルータがLS_Update と LS_Acknowledge を交換し合い、瞬時に収束が完了しました。正常なOSPFの動作です。

「うん、問題ないね」

「よかった……。ホッ」

「さて、いまの状況をまとめてみようか」

 手元にあったネットワーク構成図にRouter-IDを書き加えながら、坂本さんに説明をします。OSPFのリンクステート情報、ネイバルータ情報、それぞれがネットワークマップを作成するよね。それをルーティングテーブルに反映させることで、ネットワークが正常に更新されるんだ。問題ないね?

「はい!」

画面9 Router-IDが重複しないように設定すること

 「あの、すいません。センパ……いえ、斉藤さん。勝手にルータを触って事故を起こしてしまって」

 坂本さんはかわいそうなくらいしょげかえっています。まあまあ、まだ1日目だしね。彼女には今回の再発防止策の手順書を作成するように指示を出しておきました。張り切って取り掛かるあたりかわいいものです。自分も初心を忘れないようにしないと。でも何かペナルティも考えるかな。

 それと、と自分でやらなくてはならない宿題も思い出しました。これまでの手順で分かるとおり、現在の社内ネットワークでは、OSPFパケットが認証モードで交換されます。しかし、それはつまり情報が暗号化されていないということなので、それこそWireshark等で簡単にスニファーされてしまうのです。

 そのため、次回メンテナンスの際に、以下のような暗号化設定を行う予定を立てなければいけません。

▽各インターフェイス設定

ip ospf authentication-key 7 (password)

▽OSPFグローバル設定

area (ID) ip ospf authentication message-digest

area (ID) authentication message-digest

 これでスニファーされても、パスワードはひとまず解読できないことでしょう。

画面9 OSPFの通信を確認する

 エピローグ

 ふぅ、配属初日から大失態の大災難……。斎藤さんあきれてるだろうな。でも怒られなくてよかったよ。今度からはもっと慎重にやらなくちゃ。電話でさんざん謝るなんて、もうコリゴリ。

「あ、もう定時だから坂本さんあがっちゃっていいよ」

 わ、ラッキー! やっぱりここは良い部署なのかも。

「じゃ、お先に失礼します!」

「はい、お疲れさん……と、坂本さん?」

 あれ、まだ何か……?!

「明日はプリンタの設定を教えるから。新しく入ったの全部やってね」

「は、ハイ!」

 あはは、やっぱりちょっとは怒ってるのかな……。

今回の復習

ネットワーク図にルータIDも記載しておこう
トラブルが起きた場合を考慮して切り戻し方法は事前に確認しておく
全体を俯瞰することで迅速なトラブルシューティングができる場合もある
トラブルシューティングの為必ずパケットをとりながら機器の接続を行う
パスワードは暗号化しておこう、パケットキャプチャから意外な設定ミスがみつかることもあるよ

Profile
草場 英仁(くさば ひでかず)

三井物産セキュアディレクション株式会社
ビジネスデベロップメント部 主席研究員

大手システム会社からベンチャー企業、ペネトレーション会社を経て現職へ。ルータ開発やファイアウォール開発、apacheや*BSDなどのOSS開発を経験し、低レイヤから高レイヤまで深いレベルでのハッキング技術を有する。

Exploit作成や手動でのペネトレーションテストなど、ツールではない本物の技術にこだわり、官公庁や企業へのハッキング教育、ペネトレーションテストに従事。その他、大学で非常勤講師、研究員などを勤めるかたわら、セキュリティ関連を中心に執筆多数。アカデミックな一面を持つ希少なエンジニア。最近はフォレンジックや携帯関連(端末・ガジェット・アプリなど)のハックにいそしむ。なお、同姓同名(読みは違う)の、どこにでもいる普通の変態な方とよく間違われるが http://twitter.com/E_I_J_I_R_O は私ではありません。



中村 光宏(なかむら みつひろ)
サイバーディフェンス研究所


5年間のネットワーク管理と3年間のシステム設計の経験を踏まえてサイバーディフェンスに参加。その後、独自の手法によるペネトレーションテストを開発。過去に、大型ポータルサイト等含め、あらゆる環境のウェブサイトでペネトレーションテストを実施。国内有数の診断技術と実績を誇るとともに、その知識はセキュリティマネジメントにも及ぶ。その他、セキュリティに限らず3DCGムービーやFlashコンテンツ制作等を手掛け、そこからハッキング技術に応用できるテクニックを得られるケースもあるとか。

2/2
 

Index
OSPFトポロジでまさかのループが発生!? その理由は
  Page1
調査開始
解析開始
Page2
原因特定と対処
確認と補足
エピローグ
  前編へ
大規模ネットワークに新規ルータを増設する方法(問題提起編)

Wiresharkでトラブルハック 連載インデックス


Master of IP Network フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Master of IP Network 記事ランキング

本日 月間