[Mikrotik][BCP38][Security][routerboard] Mikrotik Router で オープンリゾルバの対策設定方法。 #routerboard #自宅ラック勉強会

    ip_setting.png

    mum.mikrotik.com/presentations/HR13/legend.pdf /
    http://mum.mikrotik.com/presentations/HR13/legend.pdf

    いつか、そのとき、あの場所で。 | [Network][DNS] DNSアンプ攻撃?を受けているらしい。 /
    http://kometchtech.blog45.fc2.com/blog-entry-1191.html

    以前に上記のような記事を書いたわけですが、昨今はDNS アンプ攻撃やNTPアンプ攻撃が流行しています。
    そして、その対策にはBCP38、イングレスフィルタリング(ingress filtering)と呼ばれる 送信元を偽装したIPパケットの転送を防ぐ手法が有効とされています。
    それをMikrotik Routerで有効にする方法について書いておこうと思います。

    Manual:IP/Settings - MikroTik Wiki /
    http://wiki.mikrotik.com/wiki/Manual:IP/Settings

    RouterOS 6からは以下の項目が追加されています。
    IP>Settings
    • IP Forward
    • Send Redirects
    • Accept Secure Redirects
    • Accept Redirects
    • Allow Fastpath
    • Allow HWFastpath
    • Reverse Path filtering
    • TCP Syn Cookie

    IP Forward:
    Linux Kernelパラメータでいうところのnet.ipv4.ip_forward に該当します。

    Send Redirects:
    net.ipv4.conf.all.send_redirects = 0
    net.ipv4.conf.default.send_redirects = 0
    ルータが、不用意にネットワークのトポロジに関する攻撃情報を与えることができる状況を防止するためです。

    Accept Redirects:
    DDoSや過剰なリソースの仕様の防止、または中間者攻撃に対して効果があります。

    Accept Secure Redirects:
    net.ipv4.conf.default.secure_redirects = 0
    net.ipv4.conf.all.secure_redirects = 0
    DDoSや過剰なリソースの仕様の防止、または中間者攻撃に対して効果があります。

    Allow Fastpath:
    スループットの増加が見込まれる反面、トラフィック制御とセキュリティの制御が犠牲になります。

    Reverse Path filtering:
    詳細については以下のWebサイトを参照してください。これはIP偽装されたパケットの転送を防ぐためのフィルタであり、これを有効にすることで、DNSアンプやNTPアンプ攻撃に対応すること出来ます。

    BCP38について_uRPFの動作 - すだちっこのOrdinary Days /
    http://kashigeru.hatenablog.com/entry/2014/01/28/093911

    TCP Syn Cookie:
    昔からあるSyn Cookieを使ったDoS攻撃対策に使用します。

    また、コマンドからしか使用することが出来ませんが、IPv6についてもSettingsが用意されています。
    [admin@MikroTik] /ipv6 settings> print 
    forward: yes
    accept-redirects: yes-if-forwarding-disabled
    accept-router-advertisements: no

    詳細については以下を参照してください。
    Manual:IPv6/Settings - MikroTik Wiki /
    http://wiki.mikrotik.com/wiki/Manual:IPv6/Settings

    これらを適切に設定することで、DoS攻撃やDNSアンプ攻撃、NTP攻撃に対しても対処できると思います。
    私もRouterOSについてはまだまだ使いこなせていないので、間違いなど有りましたらご指摘ください。

    参考:
    www.janog.gr.jp/meeting/janog31.5/doc/janog31.5_dns-open-resolver-maz.pdf /
    http://www.janog.gr.jp/meeting/janog31.5/doc/janog31.5_dns-open-resolver-maz.pdf

    www.janog.gr.jp/meeting/janog31.5/doc/janog31.5_dns-open-resolver-mikit.pdf /
    http://www.janog.gr.jp/meeting/janog31.5/doc/janog31.5_dns-open-resolver-mikit.pdf

    www.janog.gr.jp/meeting/janog33/doc/janog33-NTP-takata-1.pdf /
    http://www.janog.gr.jp/meeting/janog33/doc/janog33-NTP-takata-1.pdf




    Pagination

    Trackback

    Trackback URL

    https://kometchtech.blog.fc2.com/tb.php/1381-7f9fd1b4

    Comment

    Post Your Comment

    コメント登録フォーム
    公開設定

    Utility

    Profile

    kometch

    Author:kometch
    なんちゃってエンジニアです。
    2009年10月から業務都合により大阪勤務になりました。
    2010年1月、HYBRID W-ZERO3を購入しました。
    2010年11月、HTC Desire HDを購入しました。
    2012年2月、都内の会社に転職しました。
    2012年5月、HTC One Xを購入しました。
    2012年8月、事情により休職しました。
    2012年8月、SONY Xperia SXを購入しました。
    2013年1月、一身上の都合により退職しました。
    2014年3月、都内の会社に就職しました。
    2016年8月、HPC系の会社に転職しました。

    Amazonほしい物リスト
    何か問題などありましたら、こちらまで。 Twitter:@kometchtech follow us in feedly

    カレンダー

    08 | 2017/09 | 10
    - - - - - 1 2
    3 4 5 6 7 8 9
    10 11 12 13 14 15 16
    17 18 19 20 21 22 23
    24 25 26 27 28 29 30

    全記事(数)表示

    全タイトルを表示

    バロメーター

    カテゴリー

    カテゴリークラウド

    アーカイブ

    検索フォーム

    FC2カウンター

    現在の閲覧者数

    現在の閲覧者数:

    Amazonアソシエイト

    スポンサードリンク

    月間ページランキング

    ブログパーツ

    サイトランキング

    スポンサードリンク