---------------------------------------------------------------- xSP のルータにおいて設定を推奨するフィルタの項目について 〜 顧客接続部分編 〜 ---------------------------------------------------------------- 1. 概要  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ この文書では、自ネットワークが顧客へインターネット接続性を提供 する接続部分のフィルタについて扱う。 顧客接続部分では、BGP 接続顧客と static route 接続顧客に二分さ れ、手法が異なる部分もあるが、どちらについても、顧客のインターネ ット接続性を保持をする努力と同時に、顧客側で発生したトラブルを外 部に及ぼさないようにする努力が必要となる。 2. 最低限設定をする事が推奨されるフィルタ  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ 2-1. パケットフィルタ 2-1-1. Ingress のパケットフィルタ 2-1-1-1. static route 接続顧客対象、BGP 接続顧客対象共通 [1] 以下の Special-Use Prefix が Source アドレスになってい るパケットを reject する - 自身のネットワーク : 0.0.0.0/8 - プライベートアドレス : 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 - ループバックアドレス : 127.0.0.0/8 - リンクローカルアドレス : 169.254.0.0/16 - TEST-NET : 192.0.2.0/24 - マルチキャストアドレス : 224.0.0.0/3 2-1-1-2. BGP 接続顧客対象 [1] eBGP の Neighbor アドレスが Source アドレスとなってい る BGP (179/TCP) パケットのみを accept する。 [2] (トランジット顧客の場合) 自 AS で持っている Prefix が Source アドレスになっているパケットを reject する 2-1-2. Egress のパケットフィルタ - 特に無し - 2-2. 経路フィルタ (※ BGP 接続顧客を対象にした経路フィルタ) 2-2-1. Ingress の Prefix フィルタ [1] (プライベート AS を利用した BGP 接続の場合) 顧客に割り 当てている Prefix のみを accept する (例) 顧客に割り当てている Prefix を 222.222.0.0/20 と 仮定した場合、222.222.0.0/20 exact のみを accept する [2] (トランジット顧客の場合) 顧客側 AS が広告をすると通知 があった Prefix のみを accept する (例) 顧客側 AS が広告をする Prefix を 222.222.0.0/20 と仮定した場合、222.222.0.0/20 exact のみを accept する 2-2-2. Egress の Prefix フィルタ [1] 以下の Special-Use Prefix を reject をする - デフォルト : 0.0.0.0/0 exact - プライベートアドレス : 10.0.0.0/8 or longer 172.16.0.0/12 or longer 192.168.0.0/16 or longer - ループバックアドレス : 127.0.0.0/8 or longer - リンクローカルアドレス : 169.254.0.0/16 or longer - TEST-NET : 192.0.2.0/24 or longer - マルチキャストアドレス : 224.0.0.0/3 or longer [2] 自 AS や顧客側で持っている Prefix を aggregate して accept をする - 自 AS 内部や顧客側で使用している細かい Prefix をそ のまま外部に広告をしないようにする 2-2-3. Ingress の AS-PATH フィルタ - 特に無し - 2-2-4. Egress の AS-PATH フィルタ [1] プライベート AS 番号を外部に広告しないようにする - remove-private-as - 概要 : プライベート AS 番号を顧客に割り当てているなど の場合には、AS 外部にプライベート AS 番号が入 った AS-PATH を広告しないようにする必要がある 為、AS-PATH からプライベート AS 番号を削除する - 効果 : プライベート AS 番号が入った AS-PATH を広告す る事によって発生するトラブルを事前に防ぐ 3. (運用者、ルータ) のリソースなどにより設定を考慮するフィルタ  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ 3-1. パケットフィルタ 3-1-1. Ingress のパケットフィルタ [1] 顧客接続で使用をしているインターフェースのアドレスが Destination アドレスとなっている icmp パケットの処理優 先度を低くする - ルータ宛に大量の攻撃パケットが来た場合、ルータの過負 荷が発生する事を防ぐ /* ルータ自身へのアクセス編にも書く */ [2] 顧客側で持っているアドレスブロックが Source アドレスと なっているパケットのみを accept する - 顧客のネットワーク形態を考慮した上で、設定をする必要 がある (Source アドレスを変えるようなサービスを利用している 顧客がいる場合などは、適用をする事は不可となる (例) 衛星インターネットを利用している顧客など) 3-1-2. Egress のパケットフィルタ - 特に無し - 3-2. 経路フィルタ (※ BGP 接続顧客を対象にした経路フィルタ) 3-2-1. Ingress の Prefix フィルタ - 特に無し - 3-2-2. Egress の Prefix フィルタ - 特に無し - 3-2-3. Ingress の AS-PATH フィルタ [1] ピアの相手から広告をすると通知があった AS-PATH のみを accept する - ピアの相手からの経路更新通知を基にしてフィルタを設定 する 3-2-4. Egress の AS-PATH フィルタ - 特に無し - 3-3. フィルタの運用を軽減する為に有効な技術 3-3-1. uRPF (unicast Reverse Path Forwarding) - 概要 : インタフェースに入力してくるパケットの Source アドレスが正規のものかどうかについて、ルーティ ングテーブルを利用したリバースパスを利用する事 でチェックをする - 効果 : 静的なフィルタ設定をする事が無く、Source アド レスが詐称されたパケットを reject する事が出来 る 3-3-2. Max-Prefix-Limits - 概要 : 1つの BGP ピアから受信する Prefix 数の最大値を 制限する設定で、この設定で定義した閾値以上の Prefix は受信をしないようにする - 効果 : BGP ピアの相手側のトラブル等によって、大量の経 路広告が発生した場合、自 AS のルータがその経路 の受信によって生じる過負荷を防止する事が出来る ----------------------------------------------------------------