mum.mikrotik.com/presentations/HR13/legend.pdf /
http://mum.mikrotik.com/presentations/HR13/legend.pdf
以前に上記のような記事を書いたわけですが、昨今はDNS アンプ攻撃やNTPアンプ攻撃が流行しています。
そして、その対策にはBCP38、イングレスフィルタリング(ingress filtering)と呼ばれる 送信元を偽装したIPパケットの転送を防ぐ手法が有効とされています。
それをMikrotik Routerで有効にする方法について書いておこうと思います。
Manual:IP/Settings – MikroTik Wiki /
http://wiki.mikrotik.com/wiki/Manual:IP/Settings
RouterOS 6からは以下の項目が追加されています。
IP>Settings
- IP Forward
- Send Redirects
- Accept Secure Redirects
- Accept Redirects
- Allow Fastpath
- Allow HWFastpath
- Reverse Path filtering
- TCP Syn Cookie
IP Forward:
Linux Kernelパラメータでいうところのnet.ipv4.ip_forward
に該当します。
Send Redirects:
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
ルータが、不用意にネットワークのトポロジに関する攻撃情報を与えることができる状況を防止するためです。
Accept Redirects:
DDoSや過剰なリソースの仕様の防止、または中間者攻撃に対して効果があります。
Accept Secure Redirects:
net.ipv4.conf.default.secure_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
DDoSや過剰なリソースの仕様の防止、または中間者攻撃に対して効果があります。
Allow Fastpath:
スループットの増加が見込まれる反面、トラフィック制御とセキュリティの制御が犠牲になります。
Reverse Path filtering:
詳細については以下のWebサイトを参照してください。これはIP偽装されたパケットの転送を防ぐためのフィルタであり、これを有効にすることで、DNSアンプやNTPアンプ攻撃に対応すること出来ます。
BCP38について_uRPFの動作 – すだちっこのOrdinary Days /
http://kashigeru.hatenablog.com/entry/2014/01/28/093911
TCP Syn Cookie:
昔からあるSyn Cookieを使ったDoS攻撃対策に使用します。
また、コマンドからしか使用することが出来ませんが、IPv6についてもSettingsが用意されています。
[admin@MikroTik] /ipv6 settings> print
forward: yes
accept-redirects: yes-if-forwarding-disabled
accept-router-advertisements: no
詳細については以下を参照してください。
Manual:IPv6/Settings – MikroTik Wiki /
http://wiki.mikrotik.com/wiki/Manual:IPv6/Settings
これらを適切に設定することで、DoS攻撃やDNSアンプ攻撃、NTP攻撃に対しても対処できると思います。
私もRouterOSについてはまだまだ使いこなせていないので、間違いなど有りましたらご指摘ください。
参考:
www.janog.gr.jp/meeting/janog31.5/doc/janog31.5_dns-open-resolver-maz.pdf /
http://www.janog.gr.jp/meeting/janog31.5/doc/janog31.5_dns-open-resolver-maz.pdf
www.janog.gr.jp/meeting/janog31.5/doc/janog31.5_dns-open-resolver-mikit.pdf /
http://www.janog.gr.jp/meeting/janog31.5/doc/janog31.5_dns-open-resolver-mikit.pdf
www.janog.gr.jp/meeting/janog33/doc/janog33-NTP-takata-1.pdf /
http://www.janog.gr.jp/meeting/janog33/doc/janog33-NTP-takata-1.pdf