 |
|  |
◆PPPoE・NAT・静的フィルタの設定(その1)
※動作確認は、YAMAHA RTX1000ルータで確認しています。コマンド、出力結果、動作は、機種、ファームウェアのバージョンで異なる場合があります。
資格取得が就職、転職、派遣に有利なのは確かですが、「資格=即戦力」とは言えません。実機を操作して資格取得と同時に就職・転職・派遣後に求められるエンジニア(仕事・ジョブ・ワークの達人)としての即戦力を養いましょう。
◆PPPoE・NAT・静的フィルタの設定(その1)
ここでは、PPPoE、NAT、静的フィルタの設定を行ってゆきます。
ネットワークの構成は、下図の通りです。
まず、PPPoEとNATの設定を行います。
# console prompt R1
R1# ip route default gateway pp 1
R1#ip lan1 address 192.168.1.1/24
R1# pp select 1
R1pp1# pppoe use lan2
R1pp1# pp auth accept pap chap
R1pp1# pp auth myname (PPPoE接続ID) (PPPoE接続パスワード)
R1pp1# ppp lcp mru on 1454
R1pp1# ppp ipcp ipaddress on
R1pp1# ppp ipcp msext on
R1pp1# ppp ccp type none
R1pp1# ip pp mtu 1454
R1pp1# ip pp nat descriptor 1
R1pp1# pp enable 1
R1pp1# nat descriptor type 1 masquerade
R1pp1# dns server pp 1
R1pp1# dns private address spoof on
R1pp1# pp select none
◆静的フィルタの設定
静的フィルタの設定を行ってゆきます。
<IN方向の静的フィルタ>
まずは、pp inの静的フィルタを定義してゆきます。
●送信元がプライベートIPアドレスの遮断
攻撃を仕掛ける場合の代表的な手法にIPアドレスの偽装(IPスプーフィング)があります。また、ウイルスに感染したり、踏み台として利用される場合や、DoS攻撃、DDoS攻撃 などを行う際に、送信元が特定されないようにするためにも利用されます。
その際、よく偽装されるIPアドレスが、プライベートIPアドレスです。この。プライベートアドレスは、LANなどのプライベートで閉じたネットワークでしか利用されることがないアドレスです。
このプライベートIPアドレスが書き込まれているパケットがインターネット上を流れることはありません。
一般的には、プライベートIPアドレスが指定されたパケットを遮断するようにフィルタリングを定義します。
R1# ip filter 10 reject 10.0.0.0/8 * * * *
R1# ip filter 11 reject 172.16.0.0/12 * * * *
R1# ip filter 12 reject 192.168.0.0/16 * * * *
●ICMPの通過
R1# ip filter 30 pass * * icmp * *
●TCPの戻りのパケットの通過
R1# ip filter 31 pass * * established * *
●IDENTの通過
TCPのidentは、認証の一種で、メール通信を行う際に、メールサーバ側からidentによりユーザ認証が行われる場合があります。そのために動的フィルタで通過せるように定義しておきます。
R1# ip filter 32 pass* * tcp * ident
●FTP-DATA、DNSの通過
R1# ip filter 33 pass * * tcp ftpdata *
R1# ip filter 34 pass * * udp domain *
●tracerouteの通過
UDPのポート33434-22300は、tracerouteで使用されています。tracerouteを通過させます。
R1# ip filter 35 pass udp * 33434-33500
<out方向の静的フィルタ>
pp outの静的フィルタを定義してゆきます。
●不正利用されやすいWindowsのポートを遮断
Windowsが利用するTCP/UDPの135,137,138,139,445番のポートは、ファイヤウォールで遮断するのが無難です。
多くのユーザが利用するWindowsは、悪意のある攻撃者の格好の標的となります。ポート番号は数多くありますがその中でもよく狙われるポート番号があります。
それは、Windowsのセキュリティホールを悪用したウイルスやワームで利用されるポートです。特にTCP/UDP135の137,138,139,445のポート番号は、セキュリティホールとして標的となっています。
「netbios_ns-netbios_ssn」の部分は、「netbios_ns(137)」〜「netbios_ssn(139)」までというポートの範囲を表しています。
R1# ip filter 20 reject * * udp,tcp 135 *
R1# ip filter 21 reject * * udp,tcp * 135
R1# ip filter 22 reject * * udp,tcp netbios_ns-netbios_ssn *
R1# ip filter 23 reject * * udp,tcp * netbios_ns-netbios_ssn
R1# ip filter 24 reject * * udp,tcp 445 *
R1# ip filter 25 reject * * udp,tcp * 445
●宛先がプライベートIPアドレスの遮断
R1# ip filter 50 reject * 10.0.0.0/8 * * *
R1# ip filter 51 reject * 172.16.0.0/12 * * *
R1# ip filter 52 reject * 192.168.0.0/16 * * *
●全てのパケットの通過
条件に合致しないパケットを通過させます。
R1# ip filter 99 pass * * * * *
●source-routeの遮断
source-routeオプション付きのパケットを遮断するための設定を行います。source-routeオプションは、フィルタリングを潜り抜けるなどの攻撃に悪用される可能性があるため遮断します。
R1# ip filter source-route on
●Directed Broadcastの遮断
Directed Broadcastアドレス宛てのパケットを遮断する設定を行います。smurf attack攻撃に対処します。
R1# ip filter directed-broadcast on
<PPインタフェースへの静的フィルタの適用>
R1# pp select 1
R1pp1# ip pp secure filter in 10 11 12 20 21 22 23 24 25 30 31 32 33 34
35
R1pp1# ip pp secure filter out 20 21 22 23 24 25 50 51 52 99
R1pp1# pp select none
R1# save
R1# restart
「PPPoEとNATの設定(その2)」 ← 前項 | 次項 → 「PPPoE・NAT・静的フィルタの設定(その2)」
<ネットワーク資格の練習問題に挑戦> ●CCNA練習問題に挑戦!(650問)
●Network+練習問題に挑戦!(393問)
●テクニカルエンジニア(ネットワーク)試験
◆Cisco実機で学ぶ(CCNAスイッチ編) |
 |
|
<関連メニュー>
●CCNA実機で学ぶ
●CCNP実機で学ぶ
●CCENT(ICND1)実機で学ぶ
●ICND2実機で学ぶ
●SDMで設定する(Cisco実機で学ぶ)
●CCENT・CCNA無線実機で学ぶ
●アライドテレシス実機で学ぶ
●YAMAHAルータ実機で学ぶ
●TCP/IP入門・無料ネットワークツール
●PLCでホームネットワーク構築
|
|
 |