[Mikrotik][BCP38][Security][routerboard] Mikrotik Router で オープンリゾルバの対策設定方法。 #routerboard #自宅ラック勉強会

mikrotik
ip_setting.png

mum.mikrotik.com/presentations/HR13/legend.pdf /
http://mum.mikrotik.com/presentations/HR13/legend.pdf

以前に上記のような記事を書いたわけですが、昨今はDNS アンプ攻撃やNTPアンプ攻撃が流行しています。

そして、その対策にはBCP38、イングレスフィルタリング(ingress filtering)と呼ばれる 送信元を偽装したIPパケットの転送を防ぐ手法が有効とされています。

それをMikrotik Routerで有効にする方法について書いておこうと思います。

Manual:IP/Settings – MikroTik Wiki /
http://wiki.mikrotik.com/wiki/Manual:IP/Settings

RouterOS 6からは以下の項目が追加されています。

IP>Settings

  • IP Forward
  • Send Redirects
  • Accept Secure Redirects
  • Accept Redirects
  • Allow Fastpath
  • Allow HWFastpath
  • Reverse Path filtering
  • TCP Syn Cookie

IP Forward:

Linux Kernelパラメータでいうところのnet.ipv4.ip_forward に該当します。

Send Redirects:

net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0

ルータが、不用意にネットワークのトポロジに関する攻撃情報を与えることができる状況を防止するためです。

Accept Redirects:

DDoSや過剰なリソースの仕様の防止、または中間者攻撃に対して効果があります。

Accept Secure Redirects:

net.ipv4.conf.default.secure_redirects = 0
net.ipv4.conf.all.secure_redirects = 0

DDoSや過剰なリソースの仕様の防止、または中間者攻撃に対して効果があります。

Allow Fastpath:

スループットの増加が見込まれる反面、トラフィック制御とセキュリティの制御が犠牲になります。

Reverse Path filtering:

詳細については以下のWebサイトを参照してください。これはIP偽装されたパケットの転送を防ぐためのフィルタであり、これを有効にすることで、DNSアンプやNTPアンプ攻撃に対応すること出来ます。

BCP38について_uRPFの動作 – すだちっこのOrdinary Days /
http://kashigeru.hatenablog.com/entry/2014/01/28/093911

TCP Syn Cookie:

昔からあるSyn Cookieを使ったDoS攻撃対策に使用します。

また、コマンドからしか使用することが出来ませんが、IPv6についてもSettingsが用意されています。

[admin@MikroTik] /ipv6 settings> print
forward: yes
accept-redirects: yes-if-forwarding-disabled
accept-router-advertisements: no

詳細については以下を参照してください。

Manual:IPv6/Settings – MikroTik Wiki /
http://wiki.mikrotik.com/wiki/Manual:IPv6/Settings

これらを適切に設定することで、DoS攻撃やDNSアンプ攻撃、NTP攻撃に対しても対処できると思います。
私もRouterOSについてはまだまだ使いこなせていないので、間違いなど有りましたらご指摘ください。

参考:

www.janog.gr.jp/meeting/janog31.5/doc/janog31.5_dns-open-resolver-maz.pdf /
http://www.janog.gr.jp/meeting/janog31.5/doc/janog31.5_dns-open-resolver-maz.pdf

www.janog.gr.jp/meeting/janog31.5/doc/janog31.5_dns-open-resolver-mikit.pdf /
http://www.janog.gr.jp/meeting/janog31.5/doc/janog31.5_dns-open-resolver-mikit.pdf

www.janog.gr.jp/meeting/janog33/doc/janog33-NTP-takata-1.pdf /
http://www.janog.gr.jp/meeting/janog33/doc/janog33-NTP-takata-1.pdf

この記事を書いた人

kometchtech

うつ病を患いながら、IT業界の末席にいるおっさんエンジニア。科学計算をしたことがないのに、HPC分野にお邪魔している。興味のある分野で学習したことをblogにまとめつつ、うつ病の経過症状のメモも置いておく日々。じつはRouterboard User Group JPの中の人でもある。 Amazon欲しいものリスト / Arm板を恵んでくれる人募集中

kometchtechをフォローする
タイトルとURLをコピーしました