Upload File

ホスティングサービスにおける -...

  • Home
  • Documents
  • ホスティングサービスにおける - irs.ietf.toirs.ietf.to/past/docs_20080808/20080808-irs17-arpspoofing-post.pdf · 2008/08/08 IRS17 今日のAgenda はじめに ARP Spoofingとは?
51
ホスティングサービスにおける ARP Spoofing対策 さくらインターネット() 技術部 大久保修一 [email protected]

Upload: others

Post on 04-Sep-2019

0 views

Category:

Documents


0 download

Report

TRANSCRIPT

Page 1: ホスティングサービスにおける - irs.ietf.toirs.ietf.to/past/docs_20080808/20080808-irs17-arpspoofing-post.pdf · 2008/08/08 IRS17 今日のAgenda はじめに ARP Spoofingとは?

ホスティングサービスにおけるARP Spoofing対策

さくらインターネット(株)

技術部 大久保修一

[email protected]

mailto:[email protected]
Page 2: ホスティングサービスにおける - irs.ietf.toirs.ietf.to/past/docs_20080808/20080808-irs17-arpspoofing-post.pdf · 2008/08/08 IRS17 今日のAgenda はじめに ARP Spoofingとは?

IRS172008/08/08

今日のAgenda

はじめに

ARP Spoofingとは?

ARP Spoofingの発生事例

ARP Spoofingの検出システム

ARP Spoofingの防止策

まとめ

Page 3: ホスティングサービスにおける - irs.ietf.toirs.ietf.to/past/docs_20080808/20080808-irs17-arpspoofing-post.pdf · 2008/08/08 IRS17 今日のAgenda はじめに ARP Spoofingとは?

IRS172008/08/08

はじめに

2008/6/1~6/2にかけて、弊社サービス「専用サーバ10Mスタンダード」の一部においてARP Spoofingによる通信障害が発生しました。

大変ご迷惑をおかけいたしました m(__)m

障害情報は下記に掲載されています。 http://support.sakura.ad.jp/page/news/20080602-001.news

雑誌にもARP Spoofingに関する記事が掲載されました。 日経コンピュータ6/15号 日経ネットワーク8月号

※障害の詳細は、本セッションの中で解説いたします。

http://support.sakura.ad.jp/page/news/20080602-001.news
http://support.sakura.ad.jp/page/news/20080602-001.news
http://support.sakura.ad.jp/page/news/20080602-001.news
Page 4: ホスティングサービスにおける - irs.ietf.toirs.ietf.to/past/docs_20080808/20080808-irs17-arpspoofing-post.pdf · 2008/08/08 IRS17 今日のAgenda はじめに ARP Spoofingとは?

IRS172008/08/08

ARP Spoofingとは?

ARP解決におけるIPアドレスの詐称

自分に割り当てられていないIPアドレス宛のARP Request

に応答(ARP Reply)する。

プロトコル的には、、、

ARP Request、もしくはARP ReplyのSender IP Address

フィールドに、自分に割り当てられていないIPアドレスをセットしたARPパケットを送信すること。

他ホスト宛の通信を乗っ取り、通信の傍受、改ざんがなされる可能性がある。

Page 5: ホスティングサービスにおける - irs.ietf.toirs.ietf.to/past/docs_20080808/20080808-irs17-arpspoofing-post.pdf · 2008/08/08 IRS17 今日のAgenda はじめに ARP Spoofingとは?

IRS172008/08/08

ARPの動作について

L2スイッチ

ルータ

192.168.0.0/24

192.168.0.11

xx:xx:xx:xx:xx:xx

192.168.0.12

yy:yy:yy:yy:yy:yy

192.168.0.13

zz:zz:zz:zz:zz:zz

192.168.0.1

インターネット

ARP Request

192.168.0.12の所有者は?

192.168.0.11から12にパケットを送付する場合

ブロードキャスト

ARPテーブル192.168.0.12 ??

Page 6: ホスティングサービスにおける - irs.ietf.toirs.ietf.to/past/docs_20080808/20080808-irs17-arpspoofing-post.pdf · 2008/08/08 IRS17 今日のAgenda はじめに ARP Spoofingとは?

IRS172008/08/08

ARPの動作について

L2スイッチ

ルータ

192.168.0.0/24

192.168.0.11

xx:xx:xx:xx:xx:xx

192.168.0.12

yy:yy:yy:yy:yy:yy

192.168.0.13

zz:zz:zz:zz:zz:zz

192.168.0.1

インターネット192.168.0.11から12にパケットを送付する場合

ARPテーブル192.168.0.12 yy:yy:yy:yy:yy:yy

ARP Reply

192.168.0.12はyy:yy:yy:yy:yy:yyです。

ユニキャスト

Page 7: ホスティングサービスにおける - irs.ietf.toirs.ietf.to/past/docs_20080808/20080808-irs17-arpspoofing-post.pdf · 2008/08/08 IRS17 今日のAgenda はじめに ARP Spoofingとは?

IRS172008/08/08

ARPの動作について

L2スイッチ

ルータ

192.168.0.0/24

192.168.0.11

xx:xx:xx:xx:xx:xx

192.168.0.12

yy:yy:yy:yy:yy:yy

192.168.0.13

zz:zz:zz:zz:zz:zz

192.168.0.1

インターネット192.168.0.11から12にパケットを送付する場合

ARPテーブル192.168.0.12 yy:yy:yy:yy:yy:yy

パケットをyy:yy:yy:yy:yy:yy宛に送付

Page 8: ホスティングサービスにおける - irs.ietf.toirs.ietf.to/past/docs_20080808/20080808-irs17-arpspoofing-post.pdf · 2008/08/08 IRS17 今日のAgenda はじめに ARP Spoofingとは?

IRS172008/08/08

ARP Spoofing発生時

L2スイッチ

ルータ

192.168.0.0/24

192.168.0.11

xx:xx:xx:xx:xx:xx

192.168.0.12

yy:yy:yy:yy:yy:yy

192.168.0.12

zz:zz:zz:zz:zz:zz

192.168.0.1

インターネット

ARP Request

192.168.0.12の所有者は?

192.168.0.11から12にパケットを送付する場合

ブロードキャスト

ARPテーブル192.168.0.12 ??

Page 9: ホスティングサービスにおける - irs.ietf.toirs.ietf.to/past/docs_20080808/20080808-irs17-arpspoofing-post.pdf · 2008/08/08 IRS17 今日のAgenda はじめに ARP Spoofingとは?

IRS172008/08/08

ARP Spoofing発生時

L2スイッチ

ルータ

192.168.0.0/24

192.168.0.11

xx:xx:xx:xx:xx:xx

192.168.0.12

yy:yy:yy:yy:yy:yy

192.168.0.12

zz:zz:zz:zz:zz:zz

192.168.0.1

インターネット192.168.0.11から12にパケットを送付する場合

ARPテーブル192.168.0.12 zz:zz:zz:zz:zz:zz

ARP Reply (正しい応答)

192.168.0.12はyy:yy:yy:yy:yy:yyです。

ARP Reply (不正な応答)

192.168.0.12はzz:zz:zz:zz:zz:zzです。

←不正な応答を学習した場合

Page 10: ホスティングサービスにおける - irs.ietf.toirs.ietf.to/past/docs_20080808/20080808-irs17-arpspoofing-post.pdf · 2008/08/08 IRS17 今日のAgenda はじめに ARP Spoofingとは?

IRS172008/08/08

ARP Spoofing発生時

L2スイッチ

ルータ

192.168.0.0/24

192.168.0.11

xx:xx:xx:xx:xx:xx

192.168.0.12

yy:yy:yy:yy:yy:yy

192.168.0.12

zz:zz:zz:zz:zz:zz

192.168.0.1

インターネット192.168.0.11から12にパケットを送付する場合

ARPテーブル192.168.0.12 zz:zz:zz:zz:zz:zz

パケットをzz:zz:zz:zz:zz:zz宛に送付

通信が乗っ取られる!

Page 11: ホスティングサービスにおける - irs.ietf.toirs.ietf.to/past/docs_20080808/20080808-irs17-arpspoofing-post.pdf · 2008/08/08 IRS17 今日のAgenda はじめに ARP Spoofingとは?

IRS172008/08/08

インターネット向け通信の場合

L2スイッチ

ルータ

192.168.0.0/24

192.168.0.11

xx:xx:xx:xx:xx:xx

192.168.0.12

yy:yy:yy:yy:yy:yy

192.168.0.1

zz:zz:zz:zz:zz:zz

192.168.0.1

rr:rr:rr:rr:rr:rr

インターネット192.168.0.11からインターネット向けにパケットを送付する場合

ARPテーブル192.168.0.1 ??

ARP Request

192.168.0.1の所有者は?

ブロードキャスト

Page 12: ホスティングサービスにおける - irs.ietf.toirs.ietf.to/past/docs_20080808/20080808-irs17-arpspoofing-post.pdf · 2008/08/08 IRS17 今日のAgenda はじめに ARP Spoofingとは?

IRS172008/08/08

インターネット向け通信の場合

L2スイッチ

ルータ

192.168.0.0/24

192.168.0.11

xx:xx:xx:xx:xx:xx

192.168.0.12

yy:yy:yy:yy:yy:yy

192.168.0.1

zz:zz:zz:zz:zz:zz

192.168.0.1

rr:rr:rr:rr:rr:rr

インターネット192.168.0.11からインターネット向けにパケットを送付する場合

ARPテーブル192.168.0.1 zz:zz:zz:zz:zz:zz

ARP Reply(正しい応答)

192.168.0.1はrr:rr:rr:rr:rr:rrです。

ARP Reply (不正な応答)

192.168.0.1はzz:zz:zz:zz:zz:zzです。

←不正な応答を学習した場合

Page 13: ホスティングサービスにおける - irs.ietf.toirs.ietf.to/past/docs_20080808/20080808-irs17-arpspoofing-post.pdf · 2008/08/08 IRS17 今日のAgenda はじめに ARP Spoofingとは?

IRS172008/08/08

インターネット向け通信の場合

L2スイッチ

ルータ

192.168.0.0/24

192.168.0.11

xx:xx:xx:xx:xx:xx

192.168.0.12

yy:yy:yy:yy:yy:yy

192.168.0.1

zz:zz:zz:zz:zz:zz

192.168.0.1

rr:rr:rr:rr:rr:rr

インターネット192.168.0.11からインターネット向けにパケットを送付する場合

ARPテーブル192.168.0.1 zz:zz:zz:zz:zz:zz

パケットをzz:zz:zz:zz:zz:zz宛に送付

通信が乗っ取られる!

Page 14: ホスティングサービスにおける - irs.ietf.toirs.ietf.to/past/docs_20080808/20080808-irs17-arpspoofing-post.pdf · 2008/08/08 IRS17 今日のAgenda はじめに ARP Spoofingとは?

IRS172008/08/08

弊社サービス別のARPスプーフィング影響度合

専用サーバお客様にサーバのroot権限を渡すため、設定ミスなどによるARP Spoofing発生の可能性がありえる。

サーバがクラックされてARP Spoofingが発生するケースもある。

回線帯域 帯域共有 帯域保証

10M 影響あり 影響あり

100M 影響あり 影響なし

1000M 影響なし N/A

ARP Spoofing発生時の他社お客様への影響

※サービスのご提供時期によりサーバの収容構成が異なる場合がありますので、構成の詳細は弊社カスタマーセンターにお問い合わせください。

Page 15: ホスティングサービスにおける - irs.ietf.toirs.ietf.to/past/docs_20080808/20080808-irs17-arpspoofing-post.pdf · 2008/08/08 IRS17 今日のAgenda はじめに ARP Spoofingとは?

IRS172008/08/08

専用サーバサービス(10M帯域共有の例)

インターネット

集約L2スイッチ192.168.0.0/25

.1 .2

20台

L2スイッチ

20台

L2スイッチ

20台

L2スイッチL2スイッチ計6台

.3 .4 .5 .23 .24 .25 .45 .46 .47サーバ数計120台

1セグメント中に複数お客様のサーバを収容。ARP Spoofingの影響が発生する。

VRRP

Page 16: ホスティングサービスにおける - irs.ietf.toirs.ietf.to/past/docs_20080808/20080808-irs17-arpspoofing-post.pdf · 2008/08/08 IRS17 今日のAgenda はじめに ARP Spoofingとは?

IRS172008/08/08

専用サーバサービス(100M帯域保証の例)

インターネット

計20台

192.168.0.1/30

.2/30 .6/30 .10/30 .14/30

全サーバをルータに直接収容。ARP Spoofingの影響は発生しない。

192.168.0.5/30 192.168.0.9/30 192.168.0.13/30

エッジルータ

Page 17: ホスティングサービスにおける - irs.ietf.toirs.ietf.to/past/docs_20080808/20080808-irs17-arpspoofing-post.pdf · 2008/08/08 IRS17 今日のAgenda はじめに ARP Spoofingとは?

IRS172008/08/08

弊社サービス別のARPスプーフィング影響度合

ハウジング WAN側セグメントをお客様ごとに分離するメニューでは、影響なし。

WAN側セグメントを複数のお客様で共有するメニューでは、影響あり。

共有セグメントでもルータ接続を前提としているため、クラッキングによるARP Spoofing発生度合いも低い。

回線帯域 帯域共有 帯域保証

10M 影響あり 影響なし

100M 影響あり 影響なし

1000M 影響なし 影響なし

ARP Spoofing発生時の他社お客様への影響

※サービスのご提供時期によりサーバの収容構成が異なる場合がありますので、構成の詳細は弊社カスタマーセンターにお問い合わせください。

Page 18: ホスティングサービスにおける - irs.ietf.toirs.ietf.to/past/docs_20080808/20080808-irs17-arpspoofing-post.pdf · 2008/08/08 IRS17 今日のAgenda はじめに ARP Spoofingとは?

IRS172008/08/08

ハウジング(10M/100M帯域共有型の例)

インターネット

お客様ネットワーク お客様ネットワーク

L2スイッチ

192.168.0.0/28

.1 .2

.3 .4

WAN側は複数お客様で共有のため、ARP Spoofingの影響は発生する。ただし、接続されている機器がルータなので、ARP Spoofingは発生しにくい。

.5

お客様ネットワーク

VRRP

A社 B社 C社

Page 19: ホスティングサービスにおける - irs.ietf.toirs.ietf.to/past/docs_20080808/20080808-irs17-arpspoofing-post.pdf · 2008/08/08 IRS17 今日のAgenda はじめに ARP Spoofingとは?

IRS172008/08/08

ハウジング(10M/100M帯域保証型の例)

インターネット

お客様ネットワーク お客様ネットワーク

L2スイッチ L2スイッチ

192.168.0.0/29 192.168.0.8/29

.1 .9 .2 .10

.3 .11

WAN側はお客様ごとにセグメントが異なるため、ARP Spoofingの影響は発生しない

VRRP VRRP

A社 B社

Page 20: ホスティングサービスにおける - irs.ietf.toirs.ietf.to/past/docs_20080808/20080808-irs17-arpspoofing-post.pdf · 2008/08/08 IRS17 今日のAgenda はじめに ARP Spoofingとは?

IRS172008/08/08

ARP Spoofing発生事例

ケース1 専用サーバにて、セグメント内の未使用IPアドレスを無断で利用。 予備で確保しているIPアドレスや、解約サーバのIPアドレスを網羅的に使用。

実害が無いので、気づきにくい。 お客様が意図的にやっているケースがあり、連絡して元に戻していただく。

ケース2 専用サーバにて、他の特定お客様のIPアドレスを乗っ取る。 被害者から通信ができないと申告あり。 加害者のサーバがクラックされていた。 OSの再インストールを実施。

ケース3 専用サーバにて、セグメント内の全IPアドレスを乗っ取る。 影響範囲はセグメント全体に波及する。

Page 21: ホスティングサービスにおける - irs.ietf.toirs.ietf.to/past/docs_20080808/20080808-irs17-arpspoofing-post.pdf · 2008/08/08 IRS17 今日のAgenda はじめに ARP Spoofingとは?

IRS172008/08/08

ARP Spoofing発生事例

ケース3:セグメント内の全IPアドレスを乗っ取られた場合のルータのARPテーブル

1台のサーバが大量のIPアドレスを利用

Page 22: ホスティングサービスにおける - irs.ietf.toirs.ietf.to/past/docs_20080808/20080808-irs17-arpspoofing-post.pdf · 2008/08/08 IRS17 今日のAgenda はじめに ARP Spoofingとは?

IRS172008/08/08

ARP Spoofing検出と対処方法

全エッジルータのARPテーブルを監視

下記の場合を不正とみなす。 1つのMACアドレスで複数のIPアドレスが見えている場合。

(専用サーバの場合)

複数のIPアドレスのMACアドレスが一度に変化した場合 。(全サービス共通)

データベースにて加害者の元IPアドレスを検索し、接続スイッチとポート番号を割り出す。

回線の抜去、もしくはポートのシャットダウンにてサーバの切り離しを行う。

Page 23: ホスティングサービスにおける - irs.ietf.toirs.ietf.to/past/docs_20080808/20080808-irs17-arpspoofing-post.pdf · 2008/08/08 IRS17 今日のAgenda はじめに ARP Spoofingとは?

IRS172008/08/08

ARP Spoofing検出システム

監視サーバ

定期的にsnmpでARPテーブルの内容を取得

IPアドレス MACアドレス

192.168.0.3 aa:aa:aa:aa:aa:aa

192.168.0.4 bb:bb:bb:bb:bb:bb

192.168.0.5 cc:cc:cc:cc:cc:cc

192.168.0.6 dd:dd:dd:dd:dd:dd

192.168.0.0/24.1 .2

.3 .4 .5 .6

IPアドレス MACアドレス

192.168.0.3 dd:dd:dd:dd:dd:dd

192.168.0.4 dd:dd:dd:dd:dd:dd

192.168.0.5 dd:dd:dd:dd:dd:dd

192.168.0.6 dd:dd:dd:dd:dd:dd

今回値 MACアドレスが変化

前回値より元のIPアドレスを検索

10分後

前回値

データベース

Page 24: ホスティングサービスにおける - irs.ietf.toirs.ietf.to/past/docs_20080808/20080808-irs17-arpspoofing-post.pdf · 2008/08/08 IRS17 今日のAgenda はじめに ARP Spoofingとは?

IRS172008/08/08

ARP Spoofing検出例

この回線を抜去する。

Page 25: ホスティングサービスにおける - irs.ietf.toirs.ietf.to/past/docs_20080808/20080808-irs17-arpspoofing-post.pdf · 2008/08/08 IRS17 今日のAgenda はじめに ARP Spoofingとは?

IRS172008/08/08

ARP Spoofing発生事例(ケース4)

ケース4(2008/6/1~6/2に発生した事例)

デフォルトゲートウェイのIPアドレスを乗っ取る。

同セグメント内のサーバからインターネット向け通信を横取り。

さらにHTTPトラフィックを改竄して、Webの閲覧者に返答。

<iframe>タグを使った攻撃コードを挿入。

閲覧者にてウイルス対策がなされていない場合、ウイルス感染など被害を受けた可能性があった。

Page 26: ホスティングサービスにおける - irs.ietf.toirs.ietf.to/past/docs_20080808/20080808-irs17-arpspoofing-post.pdf · 2008/08/08 IRS17 今日のAgenda はじめに ARP Spoofingとは?

IRS172008/08/08

ARP Spoofing発生事例(ケース4)

インターネット

①HTTPリクエスト ②HTTPレスポンスARP Spoofingによるトラフィックの誘導

③攻撃コードを挿入し、閲覧者に返答

デフォルトゲートウェイ

閲覧者

ウィルス感染の危険

Page 27: ホスティングサービスにおける - irs.ietf.toirs.ietf.to/past/docs_20080808/20080808-irs17-arpspoofing-post.pdf · 2008/08/08 IRS17 今日のAgenda はじめに ARP Spoofingとは?

IRS172008/08/08

検出方法

ルータのログを監視

ただし、ルータにARP Request(GARP)、もしくはARP Replyが届いた場合のみ。

ルータにARPパケットが届かないと、ログが記録されない。

Jul 30 17:11:22:W:IP: IP: Duplicate IP address 219.nn.nn.1 detected sent

from MAC address xxxx.f3d1.xxxx interface 15, 1 packets

Page 28: ホスティングサービスにおける - irs.ietf.toirs.ietf.to/past/docs_20080808/20080808-irs17-arpspoofing-post.pdf · 2008/08/08 IRS17 今日のAgenda はじめに ARP Spoofingとは?

IPアドレス重複のログが出力されるケース

IRS172008/08/08

L2スイッチ

ルータ

192.168.0.0/24

192.168.0.11

xx:xx:xx:xx:xx:xx

192.168.0.12

yy:yy:yy:yy:yy:yy

192.168.0.1

zz:zz:zz:zz:zz:zz

192.168.0.1

インターネット

ARP Requestのブロードキャスト(GARPを含む)

Sender IPが192.168.0.1ARP Request / GARP

Jul 30 17:11:22:W:IP: IP: Duplicate IP address

219.nn.nn.1 detected sent from MAC address

xxxx.f3d1.xxxx interface 15, 1 packets

Page 29: ホスティングサービスにおける - irs.ietf.toirs.ietf.to/past/docs_20080808/20080808-irs17-arpspoofing-post.pdf · 2008/08/08 IRS17 今日のAgenda はじめに ARP Spoofingとは?

IPアドレス重複のログが出力されるケース

IRS172008/08/08

L2スイッチ

ルータ

192.168.0.0/24

192.168.0.11

xx:xx:xx:xx:xx:xx

192.168.0.12

yy:yy:yy:yy:yy:yy

192.168.0.1

zz:zz:zz:zz:zz:zz

192.168.0.1

インターネット

ルータからのGARPに対するARP Reply

Sender IPが192.168.0.1 GARP

ARP Reply

Jul 30 17:11:22:W:IP: IP: Duplicate IP address

219.nn.nn.1 detected sent from MAC address

xxxx.f3d1.xxxx interface 15, 1 packets

Page 30: ホスティングサービスにおける - irs.ietf.toirs.ietf.to/past/docs_20080808/20080808-irs17-arpspoofing-post.pdf · 2008/08/08 IRS17 今日のAgenda はじめに ARP Spoofingとは?

IRS172008/08/08

IPアドレス重複のログが出力されないケース

L2スイッチ

ルータ

192.168.0.0/24

192.168.0.11

xx:xx:xx:xx:xx:xx

192.168.0.12

yy:yy:yy:yy:yy:yy

192.168.0.1

zz:zz:zz:zz:zz:zz

192.168.0.1

インターネット

ARP Request

192.168.0.1の所有者は?

ブロードキャスト

Page 31: ホスティングサービスにおける - irs.ietf.toirs.ietf.to/past/docs_20080808/20080808-irs17-arpspoofing-post.pdf · 2008/08/08 IRS17 今日のAgenda はじめに ARP Spoofingとは?

IRS172008/08/08

IPアドレス重複のログが出力されないケース

L2スイッチ

ルータ

192.168.0.0/24

192.168.0.11

xx:xx:xx:xx:xx:xx

192.168.0.12

yy:yy:yy:yy:yy:yy

192.168.0.1

zz:zz:zz:zz:zz:zz

192.168.0.1

インターネット

ARPテーブル192.168.0.1 zz:zz:zz:zz:zz:zz

ARP Reply (不正な応答)

192.168.0.1はzz:zz:zz:zz:zz:zzです。

ユニキャストのため、ルータからは観測できない。

・・・・記録なし・・・・

Page 32: ホスティングサービスにおける - irs.ietf.toirs.ietf.to/past/docs_20080808/20080808-irs17-arpspoofing-post.pdf · 2008/08/08 IRS17 今日のAgenda はじめに ARP Spoofingとは?

IRS172008/08/08

ARP監視サーバ設置

L2スイッチ

ルータ

192.168.0.0/24

192.168.0.11

xx:xx:xx:xx:xx:xx

192.168.0.12

yy:yy:yy:yy:yy:yy

192.168.0.1

zz:zz:zz:zz:zz:zz

192.168.0.1

rr:rr:rr:rr:rr:rr

インターネット

定期的にデフォルトゲートウェイ宛てのARP Requestを送出。192.168.0.1の所有者は?

ブロードキャスト

監視サーバ

Page 33: ホスティングサービスにおける - irs.ietf.toirs.ietf.to/past/docs_20080808/20080808-irs17-arpspoofing-post.pdf · 2008/08/08 IRS17 今日のAgenda はじめに ARP Spoofingとは?

IRS172008/08/08

ARP監視サーバ設置

L2スイッチ

ルータ

192.168.0.0/24

192.168.0.11

xx:xx:xx:xx:xx:xx

192.168.0.12

yy:yy:yy:yy:yy:yy

192.168.0.1

zz:zz:zz:zz:zz:zz

192.168.0.1

rr:rr:rr:rr:rr:rr

インターネット

ARP Reply(正しい応答)

192.168.0.1はrr:rr:rr:rr:rr:rrです。

ARP Reply (不正な応答)

192.168.0.1はzz:zz:zz:zz:zz:zzです。

監視サーバ

不正な応答を発見した場合、アラートをあげる。

Page 34: ホスティングサービスにおける - irs.ietf.toirs.ietf.to/past/docs_20080808/20080808-irs17-arpspoofing-post.pdf · 2008/08/08 IRS17 今日のAgenda はじめに ARP Spoofingとは?

IRS172008/08/08

ARP Spoofing防止策

検出はある程度できるが、そもそも防止する方法は無いのか?

いくつか案があるが、それぞれ一長一短がある。その1:全サーバをルータ直収にする。その2:L2スイッチでARPフィルタを書く。その3:同一スイッチのサーバ間の通信を禁止する。その4:サーバにてデフォルトゲートウェイ宛のStatic

ARPを書く。

Page 35: ホスティングサービスにおける - irs.ietf.toirs.ietf.to/past/docs_20080808/20080808-irs17-arpspoofing-post.pdf · 2008/08/08 IRS17 今日のAgenda はじめに ARP Spoofingとは?

IRS172008/08/08

ARP Spoofing防止策(その1)

全サーバをルータ直収にする。

インターネット

192.168.0.1/30

.2/30 .6/30 .10/30 .14/30

192.168.0.5/30 192.168.0.9/30 192.168.0.13/30

エッジルータ

ルータが大量に必要、、、、収容コストがアップしてしまう。サーバ1台につき4つ(/30)のIPアドレスを消費してしまう。

Page 36: ホスティングサービスにおける - irs.ietf.toirs.ietf.to/past/docs_20080808/20080808-irs17-arpspoofing-post.pdf · 2008/08/08 IRS17 今日のAgenda はじめに ARP Spoofingとは?

IRS172008/08/08

ARP Spoofing防止策(その2)

L2スイッチでARPフィルタを書く。

192.168.0.3/24

192.168.0.1/24

192.168.0.4/24 192.168.0.5/24 192.168.0.6/24192.168.0.6のみ

192.168.0.3のみ

192.168.0.5のみ

192.168.0.4のみ

サーバ収容L2スイッチ

Page 37: ホスティングサービスにおける - irs.ietf.toirs.ietf.to/past/docs_20080808/20080808-irs17-arpspoofing-post.pdf · 2008/08/08 IRS17 今日のAgenda はじめに ARP Spoofingとは?

IRS172008/08/08

ARPパケットのフォーマット

ARP Request

ARP Reply

ここのSender IP addressを制限する

Page 38: ホスティングサービスにおける - irs.ietf.toirs.ietf.to/past/docs_20080808/20080808-irs17-arpspoofing-post.pdf · 2008/08/08 IRS17 今日のAgenda はじめに ARP Spoofingとは?

IRS172008/08/08

ARPパケットのフォーマット

Gratuitous ARP

(ARP Requestの一種)

ここのSender IP addressを制限する

※ARP Requestと同じだが、Sender IP addressとTarget IP addressが同じ。

IPアドレスの重複確認や、自身のMACが変化した際に他のホストのARPテーブルの書き換えを促すために利用される。

Page 39: ホスティングサービスにおける - irs.ietf.toirs.ietf.to/past/docs_20080808/20080808-irs17-arpspoofing-post.pdf · 2008/08/08 IRS17 今日のAgenda はじめに ARP Spoofingとは?

IRS172008/08/08

ARPパケットフィルタ設定例

packet-filter rule1 add condition ingress-port 1

packet-filter rule1 add condition arp operation 1

packet-filter rule1 add action discard

packet-filter rule2 add condition ingress-port 1

packet-filter rule2 add condition arp operation 1

packet-filter rule2 add condition arp sender-ip 192.168.0.3/32

packet-filter rule2 add action not-discard

packet-filter rule3 add condition ingress-port 1

packet-filter rule3 add condition arp operation 2

packet-filter rule3 add action discard

packet-filter rule4 add condition ingress-port 1

packet-filter rule4 add condition arp operation 2

packet-filter rule4 add condition arp sender-ip 192.168.0.3/32

packet-filter rule4 add action not-discard

1番ポートから受信するARPパケットのSender IP addressを192.168.0.3に限定する場合の設定

サーバ1台につき、上記14行の設定が必要。。。20台だと、280行の設定。。。サーバを別のポートに収容変更する際に、設定変更が必要。。。運用が大変!

※国産の水色のスイッチの設定例

ARP operation=1

ARP Request

ARP operation=2

ARP Reply

Page 40: ホスティングサービスにおける - irs.ietf.toirs.ietf.to/past/docs_20080808/20080808-irs17-arpspoofing-post.pdf · 2008/08/08 IRS17 今日のAgenda はじめに ARP Spoofingとは?

IRS172008/08/08

ARPパケットフィルタ設定例

デフォルトゲートウェイのIPアドレスをSender IPとしたARPパケットを、サーバから受信しないようにフィルタする。 運用は楽になる。 ルータのIPアドレス詐称には有効だが、他のホストのIPアドレス詐称には効果なし。

192.168.0.3/24

192.168.0.1/24

192.168.0.4/24 192.168.0.5/24 192.168.0.6/24

サーバ収容L2スイッチ

192.168.0.1を禁止

Page 41: ホスティングサービスにおける - irs.ietf.toirs.ietf.to/past/docs_20080808/20080808-irs17-arpspoofing-post.pdf · 2008/08/08 IRS17 今日のAgenda はじめに ARP Spoofingとは?

IRS172008/08/08

ARPパケットフィルタ設定例

packet-filter rule1 block 2-24

packet-filter rule1 add condition arp operation 1

packet-filter rule1 add condition arp sender-ip 192.168.0.1/32

packet-filter rule1 add action discard

packet-filter rule2 block 2-24

packet-filter rule2 add condition arp operation 2

packet-filter rule2 add condition arp sender-ip 192.168.0.1/32

packet-filter rule2 add action discard

2~24番ポートからデフォルトゲートウェイのIPアドレス192.168.0.1をSender IPとしたARPパケット受信しないような設定

スイッチ1台につき、上記8行の設定でOK!ただし、機種によってはblockがポート毎に分かれていないため、configが増える可能性がある。

※国産の水色のスイッチの設定例

ARP operation=1

ARP Request

ARP operation=2

ARP Reply

Page 42: ホスティングサービスにおける - irs.ietf.toirs.ietf.to/past/docs_20080808/20080808-irs17-arpspoofing-post.pdf · 2008/08/08 IRS17 今日のAgenda はじめに ARP Spoofingとは?

IRS172008/08/08

ARP Spoofing防止策(その3)

同一スイッチのサーバ間の通信を禁止する。 L2スイッチのPort Isolate機能を利用。

192.168.0.3/24

192.168.0.1/24

192.168.0.4/24 192.168.0.5/24 192.168.0.6/24

サーバ間の通信を禁止する

サーバとルータ間の通信のみ認める

サーバ収容L2スイッチ

Page 43: ホスティングサービスにおける - irs.ietf.toirs.ietf.to/past/docs_20080808/20080808-irs17-arpspoofing-post.pdf · 2008/08/08 IRS17 今日のAgenda はじめに ARP Spoofingとは?

IRS172008/08/08

Port Isolate機能の設定例 25番ポートがアップリンクで、1~24番ポートがサーバ向けの場合。

ARP Spoofing防止策(その3)

forwarding enable

forwarding 1 25

forwarding 2 25

forwarding 3 25

forwarding 4 1-24

※国産の水色のスイッチの設定例「中継パス制限機能」と呼ばれています

Page 44: ホスティングサービスにおける - irs.ietf.toirs.ietf.to/past/docs_20080808/20080808-irs17-arpspoofing-post.pdf · 2008/08/08 IRS17 今日のAgenda はじめに ARP Spoofingとは?

IRS172008/08/08

Port Isolateの是非

そもそも、サーバ間の通信を禁止しても良いのか? 各サーバにて、同セグメント内の他サーバ宛の通信をルータに向けるようにStatic routeを書く方法もあり。

下記の設定を投入して、サーバを出荷する。 192.168.0.0/24セグメントでデフォルトゲートウェイが192.168.0.1の場合

route add -host 192.168.0.3 192.162.0.1

route add -host 192.168.0.4 192.162.0.1

・・・route add -host 192.168.0.254 192.162.0.1

route add -net 192.168.0.0/24 gw 192.168.0.1 eth0

Linuxの場合

FreeBSDの場合

/24の経路を1つ書けばOK!

/32単位で全ホスト宛を書く必要がある・・・約250エントリ・・・

Windowsの場合

省略・・・

Page 45: ホスティングサービスにおける - irs.ietf.toirs.ietf.to/past/docs_20080808/20080808-irs17-arpspoofing-post.pdf · 2008/08/08 IRS17 今日のAgenda はじめに ARP Spoofingとは?

IRS172008/08/08

ARP Spoofing防止策(その4)

サーバにてデフォルトゲートウェイ宛のStatic ARPを書く。

192.168.0.3/24

192.168.0.1/24

rr:rr:rr:rr:rr:rr

192.168.0.4/24 192.168.0.5/24 192.168.0.6/24

Static ARP

192.168.0.1 rr:rr:rr:rr:rr:rr

デフォルトゲートウェイの解決にARPを使わない。

Page 46: ホスティングサービスにおける - irs.ietf.toirs.ietf.to/past/docs_20080808/20080808-irs17-arpspoofing-post.pdf · 2008/08/08 IRS17 今日のAgenda はじめに ARP Spoofingとは?

IRS172008/08/08

Static ARPの懸念点

VRRPを使っているため、デフォルトゲートウェイのMACアドレスは固定されている。 →比較的実装しやすいかも?

VRRPの仮想MACアドレスフォーマット

00:00:5e:00:01:<VRID>

例:VRIDが99の場合 → 00:00:5e:00:01:63

デフォルトゲートウェイのMACアドレスが変化しないように運用する必要がある。 VRIDの変更ができない。

VRIDはルータ内でユニークである必要

収容ルータを変更するときに、収容変更先ルータに同一VRIDが存在する場合、VRIDを変更せざるを得ない。

将来VRRP以外の冗長化プロトコルに変更することができない。

ルータのIPアドレス詐称には有効だが、他のホストのIPアドレス詐称には効果なし。

Page 47: ホスティングサービスにおける - irs.ietf.toirs.ietf.to/past/docs_20080808/20080808-irs17-arpspoofing-post.pdf · 2008/08/08 IRS17 今日のAgenda はじめに ARP Spoofingとは?

IRS172008/08/08

対策別の有効度合

対策 ゲートウェイの

ARP Spoofing

他ホストの

ARP Spoofing

現実的?

ルータ直収 有効 有効 ×

各ホストARPフィルタ 有効 有効 ×

ゲートウェイのみ

ARPフィルタ

有効 無効 ○

Port Isolate 有効 無効 △

Static ARP 有効 無効 △

このあたりが対策としては妥当なライン?

○:いけそう×:たぶん無理△:できなくなさそうだけど、やりたくない

Page 48: ホスティングサービスにおける - irs.ietf.toirs.ietf.to/past/docs_20080808/20080808-irs17-arpspoofing-post.pdf · 2008/08/08 IRS17 今日のAgenda はじめに ARP Spoofingとは?

次善策(その1)

ほぼ同時に2つのARP Replyを受け取った場合はどうなる?

正しいARP Replyと詐称されたARP Replyを同時に受信。

受信側は、後に受信したReplyの内容でARPテーブルを書き換える。

後にARP Replyを送信した方が勝ってしまう!

ルータにてARP Replyの送信を、意図的に遅延させる設定ができるといいかもしれない。

こんな設定できるルータありますか!?

Page 49: ホスティングサービスにおける - irs.ietf.toirs.ietf.to/past/docs_20080808/20080808-irs17-arpspoofing-post.pdf · 2008/08/08 IRS17 今日のAgenda はじめに ARP Spoofingとは?

次善策(その2)

ルータからGARPを頻繁に送信配下ホストのARPテーブルをなるべく正しい状態に維持する。

ARP Spoofingが発生しても、影響をなるべく最小限にとどめる。

Page 50: ホスティングサービスにおける - irs.ietf.toirs.ietf.to/past/docs_20080808/20080808-irs17-arpspoofing-post.pdf · 2008/08/08 IRS17 今日のAgenda はじめに ARP Spoofingとは?

IRS172008/08/08

まとめ

複数のお客様を同一セグメントに収容する構成

→ ARP Spoofing対策は一筋縄にはいかない。

検出と防止策を効果的に組み合わせる必要がある。

ネットワーク構成によって、対策は変わってくる。

オペレーションの中で、問題を検出してから早期に問題サーバを切り離す体制作りも重要となってくる。

似たような別の問題もあります。 MACアドレス詐称(イーサフレームの送信元MACアドレス)

IPアドレス詐称(IPヘッダの送信元IPアドレス)

別途対策が必要です。

Page 51: ホスティングサービスにおける - irs.ietf.toirs.ietf.to/past/docs_20080808/20080808-irs17-arpspoofing-post.pdf · 2008/08/08 IRS17 今日のAgenda はじめに ARP Spoofingとは?

IRS172008/08/08

議論

ARP Spoofingの発生した事例はありますか? ホスティングサービスなどで、ARP Spoofing対策はどのようにされてますか? Static ARPを設定されてる方は? Port Isolate機能を使われている方は? ARPのフィルタを設定されている方は?

IX事業者さんでARP Spoofing対策はどのようにされてますか? ホスティングサーバで同一セグメントのサーバ間の通信を禁止してもよいでしょうか? たまたま、オープンソースの公開サイトが同じセグメントにあって、ソースコードをgetしようとしたら、できないとか。

インターネットサーバだと、厳しいかも。

ARP Spoofingの防止を、もっと簡単にできる仕組みはありますか?

もっと良いARP Spoofingの検出方法はありますか?


Abdominoplastia post cirugía bariatrica - Dr. Luis ...ciruplastic.com/pdf/abdominoplastia-post.pdf · El paciente con flacidez post cirugía bariatrica se beneficia de la realización

VirtualWeb - next-web.ad.jp · PDF版 ネクストウェブ共有ホスティングサービスのご案内 RedBook 2 VirtualWeb Rental Server Service 共有サーバホスティングサービス

A Post-Colonial Perspective on Polish Soil: Some Questions ...rcin.org.pl/Content/51832/WA248_71043_P-I-2524_borkow-post.pdf · those articles that are written precisely to show the

oPINI JAWA POST.pdf

KMBT C224e-20180919103107 - isalnita.roisalnita.ro/wp-content/uploads/2018/08/fisa-post.pdf · c) verificä respectarea obligatiilor privind intretinerea curateniei de catre institutiile

Códigos POST.pdf

Idei savuroase de post.pdf

Украинаа Вераftp.vgorode.ua/doc/post.pdf · 2012-02-26 · 22 Украинаа Вера 27.02.2012 Рекомендуется воздер-жаться от пищи

PREZENT AREA LA POST - spitalulurgentagalati.ro PREZENTAREA LA POST.pdf(in special pentru angajatii care sunt incadrati la alte institutii care solicita preaviz), candidatul declarat

Vasile cel Mare - Despre Post.pdf

spital.leamna.rospital.leamna.ro/wp-content/uploads/2018/01/fisa-post.pdf · Atributii specifice diminuarii aparitiei riscului infectiilor asociate asistentei medicale: Conform Ordinului

KMBT C224-20160421145938 - galdelavedealaoltet.ro de post.pdf · Principiul selectiei calitatii SDL, reflectata inclusiv de caracterul inovativ al strategiei. Principii si criterii

ANUNT CONCURS PENTRU OCUPAREA POSTURI …centrulexcelenta.com/wp-content/uploads/2014/11/ANUNT-posturi...post.pdf · Bibliografie post secretar: 1. Legea 1/2011 Legea educatiei naţionale

OSR-EX POST.pdf

KDDI ホスティングサービス...©KDDI CORPORATION.All Rights Reserved. 2 KDDI ホスティングサービスG120, G200 はじめに コントロールパネルご利用ガイド

energie.gov.roenergie.gov.ro/wp-content/uploads/2018/12/fisa-post.pdf · României în calitatea sa de stat membru al Uniunii Europene; 3. Participä la eleborarea proiectelor de

FileMaker ホスティングサービス n€¦ · FileMaker ファイルメーカー ホスティングサービス FileMaker NTTコミュニケーションズ社のClou d n(クラウド・エヌ)を利用したプランです。

Tutorial placa post.pdf

intio-NET ホスティングサービス SMTP-AUTH の設定手順...intio-NET ホスティングサービス SMTP-AUTH の設定手順 6 ii. メールソフトにOutlook をご利用の場合

energie.gov.roenergie.gov.ro/wp-content/uploads/2018/10/FISA-POST.pdf · Limite de competente: în limita atributiilor stabilite de postului, a ROF-ului în baza dispozitiilor legale

学内組織向け DNS ホスティングサービスの運用...学内組織向けDNS ホスティングサービスの運用 前田 光教, 丸山 一貴 東京大学 情報基盤センター

© I.Popescu 2010 DPRM 3 - INSEADfaculty.insead.edu/popescu/dprm/fb/2010/3-demand-post.pdf · INSEAD Ioana Popescu DPRM3 DYNAMIC PRICING & REVENUE MANAGEMENT Professor Ioana Popescu

KMBT C224e-20181026122227 - isalnita.roisalnita.ro/wp-content/uploads/2018/10/FISE-POST.pdf · 7. Tine evidenta tehnica operativa a bunurilor proprietate publica si privata a comunei

Nr. 97 - schlicht-um-schlicht.gmxhome.deschlicht-um-schlicht.gmxhome.de/97tauschring-post.pdf · SyOk Okel StFah Fahrenhorst SySch Schnepke StGMGroß Mackenstedt StSt Stuhr StSec

Docker ホスティングサービス 'Arukas' での Mesos + Marathon の活用について(Mesos勉強会)

CMSホスティングサービス for MTCMS

“Calamity is virtue's opportunity” - Universal Nursery …universalnurseryschool.in/upload/UPS-WEB-POST.pdf“Calamity is virtue's opportunity” ----- Seneca the Younger Dear

Swathi 20080808

ads共有ホスティングサービス 管理者マニュアル...ADSホスティングサービスでは、ドメインユーザ(管理者)、メールユーザ、WEBユーザの3ユーザが存在します。以下に、

FISE POST.PDF

アイフラッググループ ホスティングサービス2 4 パスワード変更 ① パスワード変更を行いましょう。 ユーザー情報では、パスワード変更や

セットアップガイド - KDDI...このたびは「KDDI DNSホスティングサービス」をご利用いただき、誠にありがとうございます。 本紙『セットアップガイド』では、「KDDIホスティングサービス」と併用しているお客さま向けにデフォルト(標準)のレ

REDESIGN KULKAS DENGAN MENGGUNAKAN KORELASI METODE ANTROPOMETRI DAN USABILITAS SERTA MEMPERTIMBANGAN POST.pdf

KDDI ホスティングサービスmedia3.kddi.com/extlib/files/business/cloud-network... · 2015-09-30 · 「kddi ホスティングサービス(g120/g200)」 コントロールパネルご利用ガイド

MODULO DE CONTABILIDAD NOVENA SESION …clubvirtual.gvaweb.com/admin/curricula/material/B-13 HECHOS POST.pdf · novena sesion expositor ... la sola revelacion no cumple con la nif