atwiki-logo
  • 新規作成
    • 新規ページ作成
    • 新規ページ作成(その他)
      • このページをコピーして新規ページ作成
      • このウィキ内の別ページをコピーして新規ページ作成
      • このページの子ページを作成
    • 新規ウィキ作成
  • 編集
    • ページ編集
    • ページ編集(簡易版)
    • ページ名変更
    • メニュー非表示でページ編集
    • ページの閲覧/編集権限変更
    • ページの編集モード変更
    • このページにファイルをアップロード
    • メニューを編集
    • 右メニューを編集
  • バージョン管理
    • 最新版変更点(差分)
    • 編集履歴(バックアップ)
    • アップロードファイル履歴
    • ページ操作履歴
  • ページ一覧
    • ページ一覧
    • このウィキのタグ一覧
    • このウィキのタグ(更新順)
    • おまかせページ移動
  • RSS
    • このウィキの更新情報RSS
    • このウィキ新着ページRSS
  • ヘルプ
    • ご利用ガイド
    • Wiki初心者向けガイド(基本操作)
    • このウィキの管理者に連絡
    • 運営会社に連絡(不具合、障害など)
ページ検索 メニュー
DynagenでCCIEを目指す
  • ウィキ募集バナー
  • 目安箱バナー
  • 操作ガイド
  • 新規作成
  • 編集する
  • 全ページ一覧
  • 登録/ログイン
ページ一覧
DynagenでCCIEを目指す
  • ウィキ募集バナー
  • 目安箱バナー
  • 操作ガイド
  • 新規作成
  • 編集する
  • 全ページ一覧
  • 登録/ログイン
ページ一覧
DynagenでCCIEを目指す
ページ検索 メニュー
  • 新規作成
  • 編集する
  • 登録/ログイン
  • 管理メニュー
管理メニュー
  • 新規作成
    • 新規ページ作成
    • 新規ページ作成(その他)
      • このページをコピーして新規ページ作成
      • このウィキ内の別ページをコピーして新規ページ作成
      • このページの子ページを作成
    • 新規ウィキ作成
  • 編集
    • ページ編集
    • ページ編集(簡易版)
    • ページ名変更
    • メニュー非表示でページ編集
    • ページの閲覧/編集権限変更
    • ページの編集モード変更
    • このページにファイルをアップロード
    • メニューを編集
    • 右メニューを編集
  • バージョン管理
    • 最新版変更点(差分)
    • 編集履歴(バックアップ)
    • アップロードファイル履歴
    • ページ操作履歴
  • ページ一覧
    • このウィキの全ページ一覧
    • このウィキのタグ一覧
    • このウィキのタグ一覧(更新順)
    • このページの全コメント一覧
    • このウィキの全コメント一覧
    • おまかせページ移動
  • RSS
    • このwikiの更新情報RSS
    • このwikiの新着ページRSS
  • ヘルプ
    • ご利用ガイド
    • Wiki初心者向けガイド(基本操作)
    • このウィキの管理者に連絡
    • 運営会社に連絡する(不具合、障害など)
  • atwiki
  • DynagenでCCIEを目指す
  • トップページ
  • 動作検証 ネットワーク系
  • anti spoofing

DynagenでCCIEを目指す

anti spoofing

最終更新:2010年10月31日 13:09

it_certification

- view
管理者のみ編集可
  • 1. 目的
  • 2. 構成
    • 2.1. 設定概要
    • 2.2. 構成図
    • 2.3. netファイル
    • 2.4. 初期設定
    • 2.5. サーバ側 ルーティング設定
  • 3. [検証] 設定確認
    • 3.1. ping送信
    • 3.2. キャプチャ結果の確認
  • 4. [検証] ACLによるspoofing対策
    • 4.1. ACLの設定
    • 4.2. ping送信
    • 4.3. ログによる確認
    • 4.4. キャプチャ結果の確認
  • 5. [検証] uRPFによるspoofing対策
    • 5.1. 概要
    • 5.2. uRPFの設定
    • 5.3. ping送信
    • 5.4. キャプチャ結果の確認
  • 6. [検証] uRPFとACLの併用
    • 6.1. uRPFとACLの設定
    • 6.2. ping送信
    • 6.3. ログによる確認
    • 6.4. キャプチャ結果の確認

1. 目的

  • Cisco IOSを使用したspoofing対策について考察します。

2. 構成

2.1. 設定概要

  • 初期設定はIPアドレスのみです。
  • Guest OS側には、hpingがインストールされているものとします。hpingはyumで簡単にインストールする事ができます。

2.2. 構成図

2.3. netファイル

model = 3620
[localhost]
	
	[[3620]]
		image = C:\Program Files\Dynamips\images\c3620-j1s3-mz.123-18.bin
		ram = 128
	
	[[ROUTER R1]]
		f0/0 = NIO_gen_eth:\Device\NPF_{8B89D910-5ED3-4A43-9DE9-6A272A3D7592}
		f1/0 = NIO_gen_eth:\Device\NPF_{5933302A-7AAA-475C-A8FE-A6B82B0C0F98}

2.4. 初期設定

  • R1
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
ip subnet-zero
!
!
no ip domain lookup
!
ip cef
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface FastEthernet0/0
 ip address 192.168.200.1 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet1/0
 ip address 200.200.201.1 255.255.255.0
 duplex auto
 speed auto
!
ip http server
ip classless
!
!
no cdp run
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
!
!
end

2.5. サーバ側 ルーティング設定

  • Host OS
route add 200.200.201.0 mask 255.255.255.0 192.168.200.1
route add 172.16.0.0 mask 255.255.255.0 192.168.200.1
  • Guest OS
route add -net 192.168.200.0/24 gw 200.200.201.1

3. [検証] 設定確認

3.1. ping送信

Guest OS側で送信元IPアドレスを偽装したパケットが、デフォルトの設定ではHost OSまで届いてしまっている事を確認します。
hping3を使用して送信元IPアドレスを偽装したpingをHost OSへ送信します。
[root@localhost ~]# hping3 192.168.200.100 --icmptype 8 --spoof 172.16.0.1
HPING 192.168.200.100 (eth1 192.168.200.100): icmp mode set, 28 headers + 0 data bytes
^C
--- 192.168.200.100 hping statistic ---
5 packets tramitted, 0 packets received, 100% packet loss
round-trip min/avg/max = 0.0/0.0/0.0 ms
[root@localhost ~]#

3.2. キャプチャ結果の確認

ルータFa0/0で上記パケットをキャプチャし、送信元IPアドレスを偽装したpingがHost OSまで届いてしまっている事を確認します。
#ref error :ご指定のファイルが見つかりません。ファイル名を確認して、再度指定してください。 (100%)
;

4. [検証] ACLによるspoofing対策

4.1. ACLの設定

spoofing対策の最も単純な実装はACLの設定です。インターネット側のI/Fで送信元がプライベートアドレスであるパケットを全て遮断します。
Fa1/0 in方向で、送信元がプライベートアドレスであるものを拒否します。
R1(config)#ip access-list standard SPOOF_GUARD
R1(config-std-nacl)#deny 10.0.0.0 0.255.255.255 log
R1(config-std-nacl)#deny 172.16.0.0 0.15.255.255 log
R1(config-std-nacl)#deny 192.168.0.0 0.0.255.255 log
R1(config-std-nacl)#permit any log
R1(config-std-nacl)#exit
R1(config)#
R1(config)#
R1(config)#logging buffered 4096
R1(config)#
R1(config)#
R1(config)#interface FastEthernet 1/0
R1(config-if)#ip access-group SPOOF_GUARD in

4.2. ping送信

送信元を偽装したpingと正常なpingをguest OSからHost OSへ送信します。
[root@localhost ~]# hping3 192.168.200.100 --icmptype 8 --spoof 172.16.0.1
HPING 192.168.200.100 (eth1 192.168.200.100): icmp mode set, 28 headers + 0 data bytes
^C
--- 192.168.200.100 hping statistic ---
5 packets tramitted, 0 packets received, 100% packet loss
round-trip min/avg/max = 0.0/0.0/0.0 ms
[root@localhost ~]#
[root@localhost ~]#
[root@localhost ~]# hping3 192.168.200.100 --icmptype 8
HPING 192.168.200.100 (eth1 192.168.200.100): icmp mode set, 28 headers + 0 data bytes
len=28 ip=192.168.200.100 ttl=127 id=49051 icmp_seq=0 rtt=20.0 ms
len=28 ip=192.168.200.100 ttl=127 id=49075 icmp_seq=1 rtt=0.0 ms
len=28 ip=192.168.200.100 ttl=127 id=49100 icmp_seq=2 rtt=10.0 ms
^C
--- 192.168.200.100 hping statistic ---
3 packets tramitted, 3 packets received, 0% packet loss
round-trip min/avg/max = 10.0/10.0/20.0 ms
[root@localhost ~]#

4.3. ログによる確認

送信元を偽装したpingは遮断されるものの正常なpingはHost OSまで届いている事を、ログから読み取ります。
R1#
*Mar  1 01:05:48.579: %SEC-6-IPACCESSLOGS: list SPOOF_GUARD denied 172.16.0.1 1 packet
*Mar  1 01:06:01.223: %SEC-6-IPACCESSLOGS: list SPOOF_GUARD permitted 200.200.201.101 1 packet
R1#

4.4. キャプチャ結果の確認

ルータFa0/0で上記パケットをキャプチャし、送信元を偽装したpingは遮断されるものの正常なpingはHost OSまで届いている事を確認します。
#ref error :ご指定のファイルが見つかりません。ファイル名を確認して、再度指定してください。 (100%)
;

5. [検証] uRPFによるspoofing対策

5.1. 概要

uRPFチェックを行った結果、送信元IPアドレスが偽装されている可能性があると判断した場合、パケットを破棄する事ができます。設定は以下の通りです。
Router(config-if)#ip verify unicast source reachable-via <I/F> <許容範囲>

項目 設定 詳細
I/F any Source is reachable via any interface. どのI/Fからのパケットも許可します。インターネット側の経路が冗長化されており、いつもuRPFチェックが成功するとは限らない場合は、こちらを指定します。
rx Source is reachable via interface on which packet was received. uRPFチェックに成功するI/Fからのパケットのみ許可します。
許可方法 <1-199> A standard IP access list number. ACLに合致したパケットはuRPFチェックを実施せずにパケットを転送します。uRPFチェックを実施しないパケットを増やす事によってCPU節約を図る事ができます。
<1300-2699> A standard IP expanded access list number. ACLに合致したパケットはuRPFチェックを実施せずにパケットを転送します。uRPFチェックを実施しないパケットを増やす事によってCPU節約を図る事ができます。
allow-default Allow default route to match when checking source address. uRPFチェックに成功したパケットのみを転送します(デフォルト)
allow-self-ping Allow router to ping itself (opens vulnerability in verification). ルータから送信元へのping成功するパケットのみを転送します。


5.2. uRPFの設定

uRPFチェックによってspoofing対策を行う設定を投入します。また、「4. [検証] ACLによるspoofing対策」の設定を削除します。
R1(config)#interface FastEthernet 1/0
R1(config-if)#no ip access-group SOURCE_GUARD in
R1(config-if)#ip verify unicast source reachable-via rx

5.3. ping送信

送信元を偽装したpingと正常なpingをguest OSからHost OSへ送信します。
[root@localhost ~]# hping3 192.168.200.100 --icmptype 8 --spoof 172.16.0.1
HPING 192.168.200.100 (eth1 192.168.200.100): icmp mode set, 28 headers + 0 data bytes
^C
--- 192.168.200.100 hping statistic ---
4 packets tramitted, 0 packets received, 100% packet loss
round-trip min/avg/max = 0.0/0.0/0.0 ms
[root@localhost ~]#
[root@localhost ~]#
[root@localhost ~]# hping3 192.168.200.100 --icmptype 8
HPING 192.168.200.100 (eth1 192.168.200.100): icmp mode set, 28 headers + 0 data bytes
len=28 ip=192.168.200.100 ttl=127 id=54012 icmp_seq=0 rtt=20.0 ms
len=28 ip=192.168.200.100 ttl=127 id=54037 icmp_seq=1 rtt=10.0 ms
len=28 ip=192.168.200.100 ttl=127 id=54062 icmp_seq=2 rtt=10.0 ms
^C
--- 192.168.200.100 hping statistic ---
3 packets tramitted, 3 packets received, 0% packet loss
round-trip min/avg/max = 10.0/13.3/20.0 ms
[root@localhost ~]#

5.4. キャプチャ結果の確認

ルータFa0/0で上記パケットをキャプチャし、送信元を偽装したpingは遮断されるものの正常なpingはHost OSまで届いている事を確認します。
#ref error :ご指定のファイルが見つかりません。ファイル名を確認して、再度指定してください。 (100%)
;

6. [検証] uRPFとACLの併用

6.1. uRPFとACLの設定

ACLに合致したものはuRPFチェックの対象外にする事ができます。ルータの場合はあまり効果がありませんが、スイッチならばACLはハードウェアベースで処理されるため、CPU負荷を削減する事ができます。
現実的な設定ではありませんが、172.16.0.1のみをuRPFチェックの対象外にする設定を投入し動作確認を行います。
R1(config)#access-list 1 permit host 172.16.0.1 log
R1(config)#access-list 1 deny any log
R1(config)#
R1(config)#
R1(config)#interface FastEthernet 1/0
R1(config-if)#no ip verify unicast source reachable-via rx
R1(config-if)#ip verify unicast source reachable-via rx 1

6.2. ping送信

送信元が172.16.0.1のpingと送信元が172.16.0.2のpingを送信します。
[root@localhost ~]# hping3 192.168.200.100 --icmptype 8 --spoof 172.16.0.1
HPING 192.168.200.100 (eth1 192.168.200.100): icmp mode set, 28 headers + 0 data bytes
^C
--- 192.168.200.100 hping statistic ---
4 packets tramitted, 0 packets received, 100% packet loss
round-trip min/avg/max = 0.0/0.0/0.0 ms
[root@localhost ~]#
[root@localhost ~]#
[root@localhost ~]# hping3 192.168.200.100 --icmptype 8 --spoof 172.16.0.2
HPING 192.168.200.100 (eth1 192.168.200.100): icmp mode set, 28 headers + 0 data bytes
^C
--- 192.168.200.100 hping statistic ---
4 packets tramitted, 0 packets received, 100% packet loss
round-trip min/avg/max = 0.0/0.0/0.0 ms
[root@localhost ~]#


6.3. ログによる確認

送信元を偽装したpingがルータまで届いている事を、ログから確認します。
R1#
*Mar  1 01:15:12.707: %SEC-6-IPACCESSLOGS: list 1 permitted 172.16.0.1 1 packet
*Mar  1 01:15:19.791: %SEC-6-IPACCESSLOGS: list 1 denied 172.16.0.2 1 packet
R1#

6.4. キャプチャ結果の確認

ルータFa0/0で上記パケットをキャプチャし、送信元が172.16.0.1であるpingのみが転送されている事を確認します。
#ref error :ご指定のファイルが見つかりません。ファイル名を確認して、再度指定してください。 (100%)
;
「anti spoofing」をウィキ内検索
LINE
シェア
Tweet
添付ファイル
  • acl.jpg
  • default.jpg
  • rpf.jpg
  • rpf_acl.jpg
  • topology.jpg
DynagenでCCIEを目指す
記事メニュー

メインコンテンツ

  • トップページ
  • トップページ/動作検証 ネットワーク系

更新履歴

取得中です。

@Wiki

  • @wiki
  • @wikiご利用ガイド
  • プラグイン紹介
  • まとめサイト作成支援ツール




ここを編集
記事メニュー2
人気記事ランキング
  1. トップページ/手順書 サーバ系/TACACS+ インストール手順
  2. トップページ/動作検証 ネットワーク系/20100331 rip passive-interfaceの設定
  3. トップページ/動作検証 ネットワーク系/20100822 TFTP, FTP, SCP
もっと見る
最近更新されたページ
  • 3007日前

    トップページ
  • 4206日前

    トップページ/手順書 ネットワーク系/Loopbackインターフェースとの接続
  • 4206日前

    トップページ/手順書 ネットワーク系
  • 4206日前

    トップページ/手順書 開発系
  • 4206日前

    トップページ/手順書 サーバ系
  • 4206日前

    トップページ/動作検証 ネットワーク系
  • 4920日前

    トップページ/動作検証 ネットワーク系/INE Workbook Volume II lab 15
  • 4941日前

    トップページ/動作検証 ネットワーク系/INE Workbook Volume II lab 14
  • 4954日前

    メニュー
  • 4963日前

    トップページ/動作検証 ネットワーク系/INE Workbook Volume II lab 13
もっと見る
人気記事ランキング
  1. トップページ/手順書 サーバ系/TACACS+ インストール手順
  2. トップページ/動作検証 ネットワーク系/20100331 rip passive-interfaceの設定
  3. トップページ/動作検証 ネットワーク系/20100822 TFTP, FTP, SCP
もっと見る
最近更新されたページ
  • 3007日前

    トップページ
  • 4206日前

    トップページ/手順書 ネットワーク系/Loopbackインターフェースとの接続
  • 4206日前

    トップページ/手順書 ネットワーク系
  • 4206日前

    トップページ/手順書 開発系
  • 4206日前

    トップページ/手順書 サーバ系
  • 4206日前

    トップページ/動作検証 ネットワーク系
  • 4920日前

    トップページ/動作検証 ネットワーク系/INE Workbook Volume II lab 15
  • 4941日前

    トップページ/動作検証 ネットワーク系/INE Workbook Volume II lab 14
  • 4954日前

    メニュー
  • 4963日前

    トップページ/動作検証 ネットワーク系/INE Workbook Volume II lab 13
もっと見る
ウィキ募集バナー
新規Wikiランキング

最近作成されたWikiのアクセスランキングです。見るだけでなく加筆してみよう!

  1. 機動戦士ガンダム EXTREME VS.2 INFINITEBOOST wiki
  2. MadTown GTA (Beta) まとめウィキ
  3. R.E.P.O. 日本語解説Wiki
  4. シュガードール情報まとめウィキ
  5. ソードランページ @ 非公式wiki
  6. AviUtl2のWiki
  7. ヒカマーWiki
  8. シミュグラ2Wiki(Simulation Of Grand2)GTARP
  9. Dark War Survival攻略
  10. 星飼いの詩@ ウィキ
もっと見る
人気Wikiランキング

atwikiでよく見られているWikiのランキングです。新しい情報を発見してみよう!

  1. アニヲタWiki(仮)
  2. ストグラ まとめ @ウィキ
  3. ゲームカタログ@Wiki ~名作からクソゲーまで~
  4. 初音ミク Wiki
  5. 機動戦士ガンダム EXTREME VS.2 INFINITEBOOST wiki
  6. 検索してはいけない言葉 @ ウィキ
  7. 機動戦士ガンダム バトルオペレーション2攻略Wiki 3rd Season
  8. 発車メロディーwiki
  9. オレカバトル アプリ版 @ ウィキ
  10. Grand Theft Auto V(グランドセフトオート5)GTA5 & GTAオンライン 情報・攻略wiki
もっと見る
全体ページランキング

最近アクセスの多かったページランキングです。話題のページを見に行こう!

  1. 参加者一覧 - ストグラ まとめ @ウィキ
  2. べりはぴ - ストグラ まとめ @ウィキ
  3. 魔獣トゲイラ - バトルロイヤルR+α ファンフィクション(二次創作など)総合wiki
  4. クロスボーン・ガンダムX1改 - 機動戦士ガンダム バトルオペレーション2攻略Wiki 3rd Season
  5. 鬼レンチャン(レベル順) - 鬼レンチャンWiki
  6. ヴォイドカンパニー - アニヲタWiki(仮)
  7. 機体一覧 - 機動戦士ガンダム EXTREME VS.2 INFINITEBOOST wiki
  8. ガンダム・エアリアル(改修型) - 機動戦士ガンダム EXTREME VS.2 INFINITEBOOST wiki
  9. コメント/雑談・質問 - マージマンション@wiki
  10. 危険度7 - 検索してはいけない言葉 @ ウィキ
もっと見る

  • このWikiのTOPへ
  • 全ページ一覧
  • アットウィキTOP
  • 利用規約
  • プライバシーポリシー

2019 AtWiki, Inc.