---------------------------------------------------------------- xSP のルータにおいて設定を推奨するフィルタの項目について 〜 トランジット接続部分編 〜 ---------------------------------------------------------------- 1. 概要  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ この文書では、フルルートの広告を受けている外部接続部分となって いる為、悪意の有り無しに関係無く、不正な経路広告を受けたり、また、 不正なアドレスからのトラフィックを受けたりするケースが一般的に多 いと思われるトランジット接続部分のフィルタについて扱う。 トランジット接続部分は、トラブルやアクシデントが発生する場合の 源となりやすいが、トランジット接続部分と同様に AS の境界となるピ ア接続部分と比較をすると、トランジット接続部分の方がフィルタの設 定が困難では無い場合が多い。 上記のように考える理由としては、ピア接続部分では、複数 xSP と 接続をしていると言う特性上、接続対象別に細かなフィルタリングルー ルが必要とされるが、トランジット接続部分では、ネットワーク全体で 基本的なフィルタリングポリシーを決定し、トランジット接続ルータに 一様なポリシーでフィルタを適用する事が可能な為である。 2. 最低限設定をする事が推奨されるフィルタ  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ 2-1. パケットフィルタ 2-1-1. Ingress のパケットフィルタ [1] eBGP の Neighbor アドレスが Source アドレスとなってい る BGP (179/TCP) パケットのみを accept する。 [2] 以下の Special-Use Prefix が Source アドレスになってい るパケットを reject する - 自身のネットワーク : 0.0.0.0/8 - プライベートアドレス : 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 - ループバックアドレス : 127.0.0.0/8 - リンクローカルアドレス : 169.254.0.0/16 - TEST-NET : 192.0.2.0/24 - マルチキャストアドレス : 224.0.0.0/3 [3] 自 AS で持っている Prefix が Source アドレスになってい るパケットを reject する 2-1-2. Egress のパケットフィルタ - 特に無し - 2-2. 経路フィルタ 2-2-1. Ingress の Prefix フィルタ [1] 以下の Special-Use Prefix を reject をする - デフォルト : 0.0.0.0/0 exact - プライベートアドレス : 10.0.0.0/8 or longer 172.16.0.0/12 or longer 192.168.0.0/16 or longer - ループバックアドレス : 127.0.0.0/8 or longer - リンクローカルアドレス : 169.254.0.0/16 or longer - TEST-NET : 192.0.2.0/24 or longer - マルチキャストアドレス : 224.0.0.0/3 or longer [2] 自 AS で持っている Prefix を reject をする (例) 自 AS で持っている Prefix を 222.222.0.0/20 と仮 定した場合、 222.222.0.0/20 orlonger を reject す る 2-2-2. Egress の Prefix フィルタ [1] 以下の Special-Use Prefix を reject をする - デフォルト : 0.0.0.0/0 exact - プライベートアドレス : 10.0.0.0/8 or longer 172.16.0.0/12 or longer 192.168.0.0/16 or longer - ループバックアドレス : 127.0.0.0/8 or longer - リンクローカルアドレス : 169.254.0.0/16 or longer - TEST-NET : 192.0.2.0/24 or longer - マルチキャストアドレス : 224.0.0.0/3 or longer [2] 自 AS で持っている Prefix を aggregate して accept を する - 自 AS 内部で使用している細かい Prefix をそのまま外 部に広告をしないようにする 2-2-3. Ingress の AS-PATH フィルタ - 特に無し - 2-2-4. Egress の AS-PATH フィルタ [1] プライベート AS 番号を外部に広告しないようにする - remove-private-as - 概要 : プライベート AS 番号を顧客に割り当てているなど の場合には、AS 外部にプライベート AS 番号が入 った AS-PATH を広告しないようにする必要がある 為、AS-PATH からプライベート AS 番号を削除する - 効果 : プライベート AS 番号が入った AS-PATH を広告す る事によって発生するトラブルを事前に防ぐ 3. (運用者、ルータ) のリソースなどにより設定を考慮するフィルタ  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ 3-1. パケットフィルタ 3-1-1. Ingress のパケットフィルタ [1] トランジット接続で使用をしているインターフェースのアド レスが Destination アドレスとなっている icmp パケット の処理優先度を低くするフィルタ - ルータ宛に大量の攻撃パケットが来た場合、ルータの過負 荷が発生する事を防ぐ /* ルータ自身へのアクセス編にも書く */ 3-1-2. Egress のパケットフィルタ - 特に無し - 3-2. 経路フィルタ 3-2-1. Ingress の Prefix フィルタ [1] 細かい Prefix (Long Prefix) を reject する - Punching Hole については別の議論があると思うが、接続 性がなくなってしまう xSP が出てこない範囲で細かい Prefix を reject する (例) /25 - /32 を reject する /29 - /32 を reject する /* reject をする prefix の大きさについての統一は必要か? */ [2] 大きい Prefix (Short Prefix) を reject する - 本来は存在しない範囲の大きい Prefix を reject する (例) /0 - /5 を reject する /0 - /6 を reject する /* reject をする prefix の大きさについての統一は必要か? */ [3] 未割り当ての Prefix を reject する - Bogon List を参照して未割り当ての Prefix を reject す る (参照) http://www.cymru.com/Bogons/ http://www.cymru.com/Documents/bogon-list.html 3-2-2. Egress の Prefix フィルタ - 特に無し - 3-2-3. Ingress の AS-PATH フィルタ - 特に無し - 3-2-4. Egress の AS-PATH フィルタ - 特に無し - 3-3. フィルタの運用を軽減する為に有効な技術 3-3-1. Max-Prefix-Limits - 概要 : 1つの BGP ピアから受信する Prefix 数の最大値を 制限する設定で、この設定で定義した閾値以上の Prefix は受信をしないようにする - 効果 : BGP ピアの相手側のトラブル等によって、大量の経 路広告が発生した場合、自 AS のルータがその経路 の受信によって生じる過負荷を防止する事が出来る ----------------------------------------------------------------