Cisco NX-OS Security コンフィギュレーション ガイド Release 4.0
ユニキャスト RPF の設定
ユニキャスト RPF の設定
発行日;2012/01/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

ユニキャスト RPF の設定

ユニキャスト RPF の概要

ユニキャスト RPF プロセス

インターフェイス単位の統計情報

バーチャライゼーション サポート

ユニキャスト RPFのライセンス要件

注意事項および制約事項

ユニキャスト RPF の設定

ユニキャスト RPF の設定の確認

ユニキャスト RPF の設定例

デフォルト設定

その他の参考資料

関連資料

ユニキャスト RPF の設定

この章では、NX-OS デバイスにユニキャスト RPF を設定する手順について説明します。

ここでは、次の内容を説明します。

「ユニキャスト RPF の概要」

「ユニキャスト RPFのライセンス要件」

「注意事項および制約事項」

「ユニキャスト RPF の設定」

「ユニキャスト RPF の設定の確認」

「ユニキャスト RPF の設定例」

「デフォルト設定」

「その他の参考資料」

ユニキャスト RPF の概要

ユニキャスト RPF 機能を使用すると、検証可能な IP 送信元アドレスがない IP パケットを廃棄する方法で、不正なまたは偽造された(スプーフされた)IP 送信元アドレスがネットワークに導入されることによる問題を軽減できます。たとえば、Smurf や Tribal Flood Network (TFN)など、いくつかの一般的なサービス拒絶型攻撃は、偽造の送信元 IP アドレスやすぐに変更される送信元 IP アドレスを利用して、攻撃を突き止めたりフィルタリングしたりする手段を妨げます。ユニキャスト RPF は、送信元アドレスが有効で、IP ルーティング テーブルと一致するパケットだけを転送することにより、攻撃を回避することができます。

インターフェイスのユニキャスト RPF をイネーブルにすると、デバイスはそのインターフェイスで受信したすべての入力パケットを検査し、送信元アドレスと送信元インターフェイスがルーティング テーブルにあり、パケットを受信したインターフェイスと一致することを確認します。この送信元アドレス検査は Forwarding Information Base(FIB)に依存しています。


) ユニキャスト RPF は入力機能であり、接続のアップストリーム エンドのデバイスの入力インターフェイスのみに適用されます。


ユニキャスト RPF は、FIB のリバース ルックアップを実行することにより、デバイス インターフェイスでの受信パケットがそのパケットの送信元への最良リターン パスで着信することを確認します。最良のリバース パス ルートからパケットが受信されると、そのパケットは通常どおりに転送されます。パケットを受信したインターフェイス上にリバース パス ルートがない場合、攻撃者によって送信元アドレスが変更される可能性があります。ユニキャスト RPF がパケットのリバース パスを見つけることができないと、そのパケットはドロップされます。


) ユニキャスト RPF では、コストが等しいすべての「最良」リターン パスが有効とみなされます。つまり、複数のリターン パスが存在していても、各パスのルーティング コストが他のパスと等しく、そのルートが FIB 内にある限り、ユニキャスト RPF は機能します。ユニキャスト RPF は、Enhanced IGRP(EIGRP)バリアントが使用されていて、送信元 IP アドレスに戻る同等でない候補パスが存在する場合にも機能します。


ここでは、次の内容について説明します。

「ユニキャスト RPF プロセス」

「インターフェイス単位の統計情報」

ユニキャスト RPF プロセス

ユニキャスト RPF には、キーの実装原則がいくつかあります。

パケットは、パケットの送信元への最良リターン パス(ルート)があるインターフェイスで受信される必要があります。このプロセスを 対称ルーティング といいます。FIB に受信インターフェイスへのルートと一致するルートが存在する必要があります。スタティック ルート、ネットワーク文、ダイナミック ルーティングによって FIB にルートが追加されます。

受信インターフェイスの IP 送信元アドレスがそのインターフェイスのルーティング エントリと一致しなければなりません。

ユニキャスト RPF は入力機能であり、接続のアップストリーム エンドのデバイスの入力インターフェイスのみに適用されます。

ダウンストリーム ネットワークにインターネットへの他の接続があっても、ダウンストリーム ネットワークにユニキャスト RPF を使用できます。


) 攻撃者が送信元アドレスへの最良パスを変更する可能性があるので、加重やローカル プリファレンスなどのオプションの BGP アトリビュートを使用する際には、十分に注意してください。変更によってユニキャスト RPF の動作に影響が生じます。


ユニキャスト RPF と ACL を設定したインターフェイスでパケットが受信されると、NX-OS ソフトウェアは次の動作を行います。


ステップ 1 インバウンド インターフェイスで入力 ACL をチェックします。

ステップ 2 ユニキャスト RFP を使用し、FIB テーブル内のリバース ルックアップを実行することにより、そのパケットが送信元への最良リターン パスで着信したことを確認します。

ステップ 3 パケットの転送を目的として FIB ルックアップを実行します。

ステップ 4 アウトバウンド インターフェイスで出力 ACL をチェックします。

ステップ 5 パケットを転送します。


 

インターフェイス単位の統計情報

Cisco NX-OS ソフトウェアがインターフェイスでパケットをドロップしたり転送したりするたびに、その情報がそのデバイス全体、およびユニキャスト RPF を適用した各インターフェイス単位でカウントされます。ドロップされたパケットのグローバル統計からは、ネットワーク上での攻撃の可能性に関する情報を得ることができます。しかし、攻撃の送信元となるインターフェイスの特定にはグローバル統計は役立ちません。

インターフェイス単位の統計情報を使用すると、不正なパケットに関して、次の 2 種類の情報を追跡できます。

ユニキャスト RPF のドロップ

ユニキャスト RPF のドロップ抑制

ユニキャスト RPF がドロップしたパケット数に関する統計情報は、攻撃の入口となるインターフェイスの特定に役立ちます。ユニキャスト RPF のドロップ カウントによって、そのインターフェイス上のドロップ数を追跡できます。

ユニキャスト RPF のドロップ抑制カウントでは、ユニキャスト RPF のチェックでは合格しなかったにも関わらず、ACL の許可設定によって転送されたパケットの数を追跡できます。ドロップ カウントとドロップ抑制カウントの統計情報は、特定のインターフェイスでの攻撃の隔離に役立ちます。


ヒント ACL ロギング情報を使用すると、ユニキャスト RPF がドロップしているアドレスを特定することもできます。


バーチャライゼーション サポート

ユニキャスト RPF の設定および動作は、各 Virtual Device Context(VDC)に固有です。VDC の詳細については、『 Cisco NX-OS Virtual Device Context Configuration Guide, Release 4.0 』を参照してください。

ユニキャスト RPFのライセンス要件

 

製品
ライセンス要件

NX-OS

ユニキャスト RPFにはライセンスは必要ありません。ライセンス パッケージに含まれていない機能は、Cisco NX-OS システム イメージにバンドルされており、追加料金なしで利用できます。NX-OS のライセンス スキームに関する詳細は、『 Cisco NX-OS Licensing Guide, Release 4.0 』を参照してください。

注意事項および制約事項

ユニキャスト RPF に関する注意事項と制約事項は次のとおりです。

ユニキャスト RPF は、ネットワーク内のより大きな部分からのダウンストリームのインターフェイスで適用する必要があります(ネットワークのエッジに適用するのが望ましい)。

なるべくダウンストリームでユニキャスト RPF を適用する方が、アドレス スプーフィングの軽減やスプーフされたアドレスの送信元の特定の精度が高くなります。たとえば、集約デバイスにユニキャスト RPF を適用すると、多くのダウンストリーム ネットワークまたはクライアントからの攻撃を軽減できるとともに、管理が簡単になりますが、攻撃の送信元を特定することはできません。ネットワーク アクセス サーバにユニキャスト RPF を適用すると、攻撃の範囲を限定し、攻撃の送信元をトレースできますが、多くのサイトにユニキャスト RPF を配布するため、ネットワーク運用の管理コストが増大します。

インターネット、イントラネット、およびエクストラネットのリソース全体でユニキャスト RPF を配布するエンティティが多いほど、インターネット コミュニティを通じた大規模なネットワークの中断が軽減される可能性が高くなり、攻撃の送信元をトレースできる可能性も高くなります。

ユニキャスト RPF は、Generic Routing Encapsulation(GRE; 総称ルーティング カプセル化)トンネルのようなトンネルでカプセル化された IP パケットは検査しません。トンネリングとカプセル化のレイヤ がパケットから除かれてからユニキャスト RPF がネットワーク トラフィックを処理するように、ホーム ゲートウェイにユニキャスト RPF を設定する必要があります。

ユニキャスト RPF は、ネットワークからのアクセス ポイントが 1 つだけ、またはアップストリーム接続が 1 つだけの「単一ホーム」環境で使用できます。アクセス ポイントが 1 つのネットワークは対称ルーティングを提供します。これはつまり、パケットがネットワークに入るインターフェイスはその IP パケットの送信元への最良リターン パスでもあるということです。

ネットワーク内部のインターフェイスにはユニキャスト RPF を使用しないでください。内部インターフェイスは、ルーティングを非対称にする可能性が高く、パケットの送信元へのルートが複数存在する場合が多いからです。ユニキャスト RPF を設定するのは、元々対称であるか、対称に設定されている場合だけにしてください。

ユニキャスト RPF を使用すると、送信元が 0.0.0.0 で宛先が 255.255.255.255 のパケットを通過させて、Bootstrap Protocol(BOOTP; ブートストラップ プロトコル)と DHCP を正しく動作させることができます。


) Cisco IOS CLI の知識があるユーザは、この機能の Cisco NX-OS コマンドは Cisco IOS コマンドと異なることがあるので注意してください。


ユニキャスト RPF の設定

入力インターフェイスに次のいずれかのユニキャストRPF モードを設定できます。

ユニキャスト RPF 厳格モード ― 厳格モードでは、ユニキャスト RPF が FIB で一致するパケット送信元アドレスを見つけて、パケットを受信した入力インターフェイスが FIB 内のユニキャスト RPF インターフェイスのどれかと一致した場合に、チェックに合格します。チェックに合格しないと、パケットは廃棄されます。このタイプのユニキャスト RPF チェックは、パケット フローが対称であると予想される場合に使用できます。

ユニキャスト RPF 緩和モード ― 緩和モードでは、FIB でのパケット送信元アドレスのルックアップで一致が戻り、FIB の結果からその送信元が少なくとも 1 つの実インターフェイスで到達可能であることが示されれば検査に合格します。パケットを受信した入力インターフェイスが FIB 内のインターフェイスのどれかと一致する必要はありません。

作業を開始する前に

デフォルトの VDC 内にいることを確認します(あるいは、 switchto vdc コマンドを使用します)。

手順の概要

1. config t

2. interface ethernet slot / port

3. ip verify unicast source reachable-via { any [ allow-default ] | rx }

4. exit

5. show ip interface ethernet slot / port

6. show running-config interface ethernet slot / port

7. copy running-config startup-config

詳細な手順

 

コマンド
目的

ステップ 1

config t

 

例:

switch# config t

switch(config)#

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface ethernet slot / port

 

例:

switch(config)# interface ethernet 2/3

switch(config-if)#

イーサネット インターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

ip verify unicast source reachable-via { any [ allow-default ] | rx }

 

例:

switch(config-if)# ip verify unicast source reachable-via any

インターフェイスにユニキャスト RPF を設定します。

any キーワードは緩和モードのユニキャスト RPF を指定します。

allow-default キーワードを指定すると、送信元アドレスのルックアップでデフォルト ルートと一致させることが可能であり、これを検証に使用できます。

rx キーワードは厳格モードのユニキャスト RPF を指定します。

ステップ 4

exit

 

例:

switch(config-cmap)# exit

switch(config)#

クラスマップ コンフィギュレーション モードを終了します。

ステップ 5

show ip interface ethernet slot / port

 

例:

switch(config)# show ip interface ethernet 2/3

(任意)インターフェイスの IP 情報を表示します。

ステップ 6

show running-config interface ethernet slot / port

 

例:

switch(config)# show running-config interface ethernet 2/3

(任意)実行コンフィギュレーション内のインターフェイスの情報を表示します。

ステップ 7

copy running-config startup-config

 

例:

switch(config)# copy running-config startup-config

(任意)実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

ユニキャスト RPF の設定の確認

ユニキャスト RPF の設定情報を表示するには、次のいずれかの作業を行います。

 

コマンド
目的

show ip interface ethernet slot / port

インターフェイスの IP 関連情報を表示します。

show running-config interface ethernet slot / port

実行コンフィギュレーション内のインターフェイスの設定を表示します。

show running-config ip [ all ]

実行コンフィギュレーション内の IP 設定を表示します。

show startup-config interface ethernet slot / port

スタートアップ コンフィギュレーション内のインターフェイスの設定を表示します。

show startup-config ip

スタートアップ コンフィギュレーション内の IP 設定を表示します。

これらのコマンドの出力フィールドについての詳細は、『 Cisco NX-OS Unicast Routing Command Reference, Release 4.0 』を参照してください。

ユニキャスト RPF の設定例

緩和モードのユニキャスト RPF の設定例を示します。

interface Ethernet2/30
ip address 172.23.231.240/23
ip verify unicast source reachable-via any
 

厳格モードのユニキャスト RPF の設定例を示します。

interface Ethernet2/30
ip address 172.23.231.240/23
ip verify unicast source reachable-via rx
 

デフォルト設定

表19-1 に ユニキャスト RPF パラメータのデフォルト設定値を示します。

 

表19-1 ユニキャスト RPF のパラメータのデフォルト値

パラメータ
デフォルト

ユニキャスト RPF

ディセーブル

その他の参考資料

ユニキャスト RPF の実装に関する詳細情報については、次を参照してください。

「関連資料」

関連資料

関連事項
タイトル

ライセンス

Cisco NX-OS Licensing Guide, Release 4.0

コマンド リファレンス

Cisco NX-OS Security Command Reference, Release 4.0