TTL Security

初めに

サービスプロバイダーは多数のユーザと接続するため、クラッカーからの攻撃を受けやすい。例えば、BGPピアを偽装した機器を接続され、悪意のある経路を流される事がある。これによって、誤った経路へパケットを流してしまったり、大量の経路を流されるDDoS攻撃を受けてしまう。
これを防ぐためのBGPのTTL Securityというセキュリティ対策を行う。

TTL Securityとは

本来、『eBGPネイバーは直接接続されているはずであり、直接繋がっていないBGPネイバーはクラッカーが用意した悪意のあるルータである』という考えに基づいている。

従って、BGPのTTLに制限を設ける事で、正しい機器と悪意のある機器の判別を行うのである。

TTL Securityの使用条件

TTL Securityを設定するにあたって、以下の制約がある。

  • eBGPのみ設定可能であり、iBGPでは設定できない
  • in方向のBGPセッションの安全性を保障し、out方向に関しては保証しない
  • ebgp-multihopコマンドと併用して設定できるが、ttl-securityコマンドの方が優先度が高い (ebgp-multihopの設定は無効になる)

設定コマンド

BGPネイバーに対し、TTL Securityを設定するコマンドは以下となる。

router bgp <AS>
 neighbor <IP-Address>
  ttl-security
 !
!

検証

目的

TTL Securityの設定例を学習する。

物理構成図

ダウンロードはこちら
TTL Securityダウンロード

論理構成図

IGP

注意点

  • OSFPのプロセスIDは1とする
    また、エリア0のシングルエリアとする
  • OSPFのLoopback0はPassive IFとする
  • OSPFのネットワークタイプはP-to-Pとする

BGP

  • R1のAS番号は”1″, R3のAS番号は”3″とする
  • R1とR3は互いにLoopback0でeBGPネイバーを指定する
  • R1とR3に対し、ebgp multihopは255を設定せよ
  • R1及びR3のBGPネイバーに対し、in/out両方のルートポリシーを設定してはならない

アドレス設計

注意点

  • 全ルータはLoopback0を持っており、アドレスはX.X.X.X/32とする (Xはルータの添え字)
  • 物理IFのアドレスは192.168.YZ.X/24とする (Xはルータの添え字、Yはリンクを構成するルータの若番、Zはリンクを構成するルータの老番)

初期コンフィグ

R1 
conf t
!
hostname R1
!
int lo 0
 ipv4 add 1.1.1.1/32
!
int gi0/0/0/0
 ipv4 add 192.168.12.1/24
 no sh
!
router ospf 1
 area 0
  int lo 0
   passive 
  !
  int gi0/0/0/0
   net point-to-point
  !
 !
!
router bgp 1
 bgp unsafe-ebgp-policy
 !
 add ipv4 uni
 !
 neighbor 3.3.3.3
  remote-as 3
  update-source lo0
  ebgp-multihop 255
  add ipv4 uni
  !
 !
!
R2 
conf t
!
hostname R2
!
int lo 0
 ipv4 add 2.2.2.2/32
!
int gi0/0/0/0
 ipv4 add 192.168.12.2/24
 no sh
!
int gi0/0/0/1
 ipv4 add 192.168.23.2/24
 no sh
!
router ospf 1
 area 0
  int lo 0
   passive 
  !
  int gi0/0/0/0
   net point-to-point
  !
  int gi0/0/0/1
   net point-to-point
  !
 !
!
R3 
conf t
!
hostname R3
!
int lo 0
 ipv4 add 3.3.3.3/32
!
int gi0/0/0/1
 ipv4 add 192.168.23.3/24
 no sh
!
router ospf 1
 area 0
  int lo 0
   passive 
  !
  int gi0/0/0/1
   net point-to-point
  !
 !
!
router bgp 3
 bgp unsafe-ebgp-policy
 !
 add ipv4 uni
 !
 neighbor 1.1.1.1
  remote-as 1
  update-source lo0
  ebgp-multihop 255
  add ipv4 uni
  !
 !
!
ダウンロードはこちら
TTL Securityダウンロード
R1ダウンロード
R2ダウンロード
R3ダウンロード

初期状態

R1とR3のBGPネイバー状態を以下に示す。

問題

問1. R1に対し、R3向けにBGP TTL Securityを設定し、ネイバークリアを行うことでBGPネイバーがダウンする事を確認せよ。

次へ
12

コメント

タイトルとURLをコピーしました