CCIE R&S ver5 対策問題集からの抜粋 #8 [Infrastructure Security - Device Security]

弊社、海外の提携校がCCIE RS ver5 当時に提供していた、試験対策問題集からの抜粋の続編です。
弊社サービス・教材のご紹介、及び皆様の自習目的としております。
現在は、現行のEnterprise Infrastructureの対策教材、ラボ環境アクセスを提供しております。

[Infrastructure Security - Device Security]

構成図例

次の要件に従ってネットワークを構成します:

・R17のコントロールプレーンをTTL有効期限(expiry)攻撃から保護し、CPUが処理する前にTTLが0または1である不正IPパケットがドロップされるようにする
・正当なパケットはドロップされないようにすること (リンク上で実行されていると想定される制御系プロトコル)

【模範解答のコンフィグ設定例】

[R17]
ip access-list extended TTL_ACL
deny ospf any any
deny pim any any
deny tcp host 192.0.2.1 eq bgp any ttl eq 1 #192.0.2.1 (Public Internet)
deny tcp host 192.0.2.1 any eq bgp ttl eq 1
permit ip any any ttl eq 0
permit ip any any ttl eq 1

class-map match-all TTL_MAP
match access-group name TTL_ACL

policy-map TTL_COPP
class TTL_MAP
drop

control-plane
service-policy input TTL_COPP

【解説】

#ip access-list extended TTL_ACL
#permit ip any any ttl eq 0
#permit ip any any ttl eq 1
<対応要件>
・R17のコントロールプレーンをTTL有効期限(expiry)攻撃から保護し、CPUが処理する前に、TTLが0または1である不正IPパケットがドロップされるようにする
<メモ>
When a packet expires on a routing platform because its TTL reaches 0, it is required to send an ICMP TTL Exceeded message back to the sender (RFC 17162).This functionality can, however,be misused.If an attacker sends a flood of packets with the TTL value set such that the packets expire on the switch, the switch is forced to generate a large amount of ICMP TTL Exceeded messages.This causes a high CPU load.
[TTL Expiry Attack]
https://www.ccexpert.us/port-security/ttl-expiry-attack.html

#class-map match-all TTL_MAP
#match access-group name TTL_ACL
#policy-map TTL_COPP
#class TTL_MAP
#drop #クラスマップ "TTL_ACL" に合致するパケットは、コントロールプレーンに送られ、CPU処理される前にドロップさせる
#control-plane
#service-policy input TTL_COPP #ポリシーマップ "TTL_COPP" をサービスポリシーのIngress方向に適用

#ip access-list extended TTL_ACL
#deny ospf any any # 試験問題の他の要件に関連します
#deny pim any any # 〃
#deny tcp host 192.0.2.1 eq bgp any ttl eq 1
#deny tcp host 192.0.2.1 any eq bgp ttl eq 1 #BGPのwell-known portの179がアサインされるデバイスがどちらになるか事前に指定できないため、両方のシナリオを想定して設定しておきます
<対応要件>
・正当なパケットをドロップしないようにすること(リンク上で実行されていると想定される制御系プロトコル)
<メモ>
Some protocols make legitimate use of low TTL values; eBGP is one such protocol. Where required, the CoPP configuration will need to be altered to allow for the proper operation of these protocols. The following　configuration builds on the previous example to allow eBGP packets with a TTL value of one.
! Add an ACL to match EBGP packets (179/tcp) from trusted sources with a TTL of one.
ip access-list extended ACL-MATCH-TRUSTED-EBGP
permit tcp host 192.168.1.101 any eq bgp ttl eq 1
permit tcp host 192.168.1.101 eq bgp any ttl eq 1
[TTL Expiry Attack Identification and Mitigation]:
https://tools.cisco.com/security/center/resources/ttl_expiry_attack.html

【コンタクト】
メッセージの表題に「仮メンバー登録希望」や「ENCORテキスト希望」などコピペして頂くと助かります。
[代表メールアドレス]
onemind.it@gmail.com
[代表 Linkedin プロフィール]
https://www.linkedin.com/in/tsuchida-shunta-446aa9239/