---------------------------------------------------------------- xSP のルータにおいて設定を推奨するフィルタの項目について 〜 ルータ自身へのアクセス編 〜 ---------------------------------------------------------------- 1. 概要  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ この文書では、自ネットワークで運用をしているルータ自身へのアク セスに対してのフィルタについて扱う。 ルータ自身へのアクセス部分では、ルータを運用する為に、ルータで 動かしているサービスへの制限が主になり、この部分について設定ミス や設定不足があった場合には、ルータの不正ログインと言う最悪の事態 につながる恐れがあるので、基本中の基本として間違いが無いように設 定をしておく必要がある。 2. 最低限設定をする事が推奨されるフィルタ  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ 2-1. パケットフィルタ 2-1-1. Ingress のパケットフィルタ [1] 以下のサービスについて、アクセスが可能な Source アドレ スを限定して、限定した Source アドレスからのパケットの みを accept する - telnet - ssh - snmp (ReadOnly / ReadWrite) - ftp - tftp (例) NOC のネットワークからのみアクセスを可能にするか、 もしくは、ルータにアクセスが可能なホストを最小限 に限定をする ※ 利用をしていない不要なサービスについては、サービスの 停止をすべきである 2-1-2. Egress のパケットフィルタ - 特に無し - 3. (運用者、ルータ) のリソースなどにより設定を考慮するフィルタ  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ 3-1. パケットフィルタ 3-1-1. Ingress のパケットフィルタ [1] ルータのインタフェースに設定をしているアドレスが Destination アドレスとなっている icmp パケットの処理優 先度を低くする - ルータ宛に大量の攻撃パケットが来た場合、ルータの過負 荷が発生する事を防ぐ 3-1-2. Egress のパケットフィルタ - 特に無し - 3-2. フィルタの運用を軽減する為に有効な技術 3-2-1. System Protection ACL (IP Receive ACL, Loopback0 ACL) - 概要 : ルータのリソース (ルーティングプロセッサ) を保 護する為のフィルタ技術 - 効果 : ルータ自身に対する攻撃パケットの対策の為に有効 となる ----------------------------------------------------------------