ルータのイングレスフィルタリングの設定で送信元を偽装したIPパケットの転送を防ぐ

ルータのセキュリティ対策で、いろんな設定がありますが、メーカーによっても設定できる項目もバラバラです。   その為、どのメーカーのルータを選ぶかによってできる設定が変わってくる場合があります。


そして、ルータで設定しておいたほうがいいとされるセキュリティ対策の一つが「イングレスフィルタリング」です。 これについて、わかりやすく説明されているのが「IPNIC」です。

イングレスフィルタリングとは(IPNIC)

 

まず、イングレスフィルタリング(ingress filtering)とは、 送信元を偽装したIPパケットの転送を防ぐ手法の一つで、 RFC2827 (BCP 38)で解説されているとあります。  

インターネットでのサービス妨害(DoS)攻撃手法には、 IPパケットの送信元アドレスを偽装して行うものがあります。 そして、以下は抜粋ですが、この対策の目的としては、以下のような攻撃を防ぐためにあります。
 
例えば、TCP SYNフラッディング(TCP SYN flooding)と呼ばれる攻撃では、 攻撃者は送信元アドレスを偽装したSYNフラグの立ったTCPパケットを、 標的となるホストに送信します。 パケットを受け取った標的ホストはSYN/ACKフラグを立てたパケットを送信元に返送しようとしますが、 送信元アドレスが偽装されているため、正しく返送を完了することができません。
もし、この攻撃で多数の偽装パケットを受け取った場合、 標的ホストはTCPの接続待ち等の処理でCPUやメモリ等のコンピュータ資源を消費させられることになり、 その結果サービス妨害(DoS)攻撃が成立します。
 
上は、自身が攻撃された場合の話で、下は第三者へ攻撃させられてしまう話です。  
 
さらに、偽装した送信元アドレスが、 攻撃者とは別の第三者が利用している正規のアドレスだった場合、 標的ホストは攻撃者とは別のそのアドレスに対してSYN/ACKパケットを返送しようとするため、 結果として第三者に対して標的ホストから攻撃してしまうことになり、 被害者である標的ホストが、同時に他者への攻撃者へと仕立てられてしまうことにもなってしまいます。



と、所謂、サービス妨害攻撃を受けることになってしまいます。そこで、この設定を入れておくということになります。