サラリーマンができる投資は何か?ということを考えています。投信歴10年、個別株歴7年ですはーと
| Login |
久しぶりにテクニカルメモ。 directed-broadcastの動作について
2013年06月23日 (日) | 編集 |
久しぶりにテクニカルメモ。


ダイレクトブロードキャストについて調べていました。
http://www.cisco.com/cisco/web/support/JP/100/1008/1008564_catl3-wol-vlans-j.html より


■セキュリティ面、所感
・Smurf攻撃(送信元を偽装し、ブロードキャストアドレスに対してPingを打つことで
 対象のサーバのNIC機能いっぱいまで利用してしまう)の対象となるため、ip directed-broadcastは
  現在のCISCOルータ、スイッチなどのIOSではデフォルトは「off」となる。
 そのため、「no ip directed-broadcast」がデフォルト設定である。

 ただし、Wake on Lan機能では、「マジック パケット」を利用します。
 また、マジックバケットのUDPポート番号は導入するWOLのソフトによって異なる。

■以下テクニカルメモ
 「マジックパケットとは?」
 ⇒ローカル サブネット IP ブロードキャスト パケットとなります。プロトコルはUDPを利用
  することが多いとされている。
  また、「IP ブロードキャスト パケットは、ブロードキャスト MAC アドレス宛て」に送信
  されます。

 以下の様な記載があるため「directed-broadcast」設定は、末端のルータ、L3スイッチに
 対して設定を行えばよさそうです。

 >ダイレクト ブロードキャストは、ユニキャスト パケットとしてネットワーク上を
 >ルーティングし、最終的にターゲット サブネットに到達すると、そこでリンクレイヤ
 >ブロードキャストに変換されます。IP アドレス設定アーキテクチャの特性上、
 >ターゲット サブネットに直接接続されているチェーンの最後のルータだけが最終的に
 >ダイレクトブロードキャストを識別できます。


~以下は、シスコ社ホームページより 抜粋

http://www.cisco.com/cisco/web/support/JP/100/1008/1008564_catl3-wol-vlans-j.html より

背景説明

■Wake-on-LAN(WoL)

Wake-on-LAN(WoL)は、スリープ中のシステムを起動するハードウェアとソフトウェアのテクノロジー
の組み合わせです。
WoL は、マジック パケットという特別にコード化されたネットワーク パケットを、これらのパケット
に応答するように装備されて有効になっているシステムに送信します。
この付加機能によって、管理者は、ユーザがシステムの電源を落としてしまった場合でもシステム
のメンテナンスを実行できます。
WoL 機能によって、管理者は、更新を受信できるようにスリープ中のすべてのマシンの電源をリモート
から立ち上げることができます。WoL は、PC がシャットダウンされたときでも NIC が依然として
電力を受け取り、マジック パケットの到着をネットワーク上でリスニングし続けるという原理に
基づいています。
このマジック パケットは、さまざまなコネクションレス プロトコル(UDP、IPX)経由で送信で
きますが、最も一般的に使用されるのは UDP です。

リモート ネットワークから WoL パケットを送信する場合、ダイレクト ブロードキャストを
許可するようにルータを設定する必要があります。

これを行うのは次の 2 つの理由があるためです。

 ■PC はスリープ中なので IP アドレスを持っておらず、ルータからの Address Resolution Protocol
 (ARP; アドレス解決プロトコル)に応答しません。そのため、セグメントで転送されるのは ARP の
 ないローカル サブネット IP ブロードキャスト パケットだけです。

 ■ルータと PC の間にレイヤ 2 スイッチがある場合(現在のほとんどのネットワークで該当する)、スイッチ
  は実際に PC のどのポートに接続されているかを認識しません。レイヤ 2 ブロードキャストまたは不明な
  ユニキャスト フレームだけがすべてのスイッチ ポートに送信されます。すべての IP ブロードキャスト
  パケットは、ブロードキャスト MAC アドレス宛てに送信されます。


■警告:ダイレクト ブロードキャスト

 IP ダイレクト ブロードキャストは、一般的で有名な SMURF サービス拒否攻撃で使用され、それの
関連する攻撃にも使用できます。

 IP ダイレクト ブロードキャストは、送信側のマシンが直接接続されていないサブネットのブロード
キャスト アドレスに送信されるデータグラムです。ダイレクト ブロードキャストは、ユニキャスト
パケットとしてネットワーク上をルーティングし、最終的にターゲット サブネットに到達すると、
そこでリンクレイヤ ブロードキャストに変換されます。IP アドレス設定アーキテクチャの特性上、
ターゲット サブネットに直接接続されているチェーンの最後のルータだけが最終的にダイレクト
ブロードキャストを識別できます。

ダイレクト ブロードキャストは、正当な目的のために使用される場合もありますが、そのような使用方法
は金融サービス業界以外では一般的ではありません。

SMURF 攻撃では、攻撃者は偽装した送信元アドレスからダイレクト ブロードキャスト
アドレスに ICMP エコー要求を送信します。これによって、ターゲット サブネット
上のすべてのホストが偽装した送信元に応答を送信することになります。
そのような要求のストリームを継続的に送信することによって、攻撃者は膨大な応答
ストリームを作り出すことができます。これによって、アドレスが偽装されたホスト
を満杯状態にすることになります。

Cisco のインターフェイスが no ip directed-broadcast コマンドで設定されていると、
そのインターフェイスでリンクレイヤ ブロードキャストに展開されるはずであった
ダイレクト ブロードキャストが廃棄されるようになります。
宛先のサブネットに接続されているすべてのルータのすべてのインターフェイスで no ip
directed-broadcast コマンドを設定する必要があることを意味しています。
ファイアウォール、ルータに設定するだけでは不十分です。no ip directed-broadcast
コマンドは、Cisco IOS ソフトウェア リリース 12.0 以降ではデフォルトになって
います。
それよりも前のリリースでは、正当なダイレクト ブロードキャストを転送するかどう
かが不明なすべての LAN インターフェイスに対してこのコマンドを適用する必要が
あります。

~ここまでCisco社ホームページより抜粋

以下両方の参考書を持っていますが5割理解できればかなりのネットワークSEです。



コメント
この記事へのコメント
コメントを投稿する
URL:
Comment:
Pass:
秘密: 管理者にだけ表示を許可する
 
トラックバック
この記事のトラックバックURL
この記事へのトラックバック