A1. 一般に、基本的なアクセスリストは、出側インタフェースでフィルタリ ングが実行されます。9.21 や 10.0 のような新しい cisco のソフトウェアで は、入側ポートでのフィルタリング能力も加えられています。
フィルタリングしたいIPアドレスやプロトコルは access-list によって 設定します。インタフェースにおいて、access-listを有効にするには、 interfaceコマンドのサブコマンド access-group によって 行います。
フィルタは、トラヒックが入側インタフェース上に入り経路プロセスを通って 来た後で適用されます。そしてルータ自身が発するトラヒック(例えば、コン ソールポートからのトラヒックなど)は、フィルタリング機能を受けません。
*入側のフィルタは、access-group に inを追加して下さい。
ciscoルータ +-------------------+ | GLOBAL | | | | Routing | | ^ v Access | | ^ v Lists | +-^--v--------^---v-+ | ^ v ^ v | | ^ v ^ v | A----------->|-| |>>>>Access >>----------->B |1 Group 2 | <------------| |<----------- | | | | +-------------------+アクセスリストを定義の大雑把なやり方
* masks.cを使用すると簡単にIP/APPLETALK/DECNETの アクセスリストが設定できます。
Q2. IP Spoofing を防止する手段はありますか?
A2. access-group inコマンドを使って、ソースに自分のIPアドレス が来るパケットを防止します。
例えば、202.241.200.0 が自分のネットワークの場合、
interface serial 0/0 ip access-group 101 in ! access-list 101 deny ip 202.241.200.0 0.0.0.255 0.0.0.0 255.255.255.255 他にあれば記述します。 access-list 101 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
Q3. ソースルートオプションを使ったIPパケットを破棄 したいのですが、どのように行いますか? A3. cisco では、ソースルートを指定している IP データグラムをルータで 破棄することが可能です。``no ip source-route''を指定することに よって、ルータはソースルートを使った IP データグラムを破棄します。 LSRR (Loose Source Record Route) を使った侵入方法には、 ``traceroute -g'' または``telnet @hostname1:hostname2'' コマンド等があります。
デフォルトでは、ソースルートは使用できるようになっているので、注意して 下さい。LSRR を使った TELNET で防火壁内部へ侵入する事が可能です。内部 ネットへ入るルータで設定しておけば、大丈夫です。
Q4. TACACS の設定方法 A4. TACACSは、ciscoルータやターミナルサーバのログイン認証に TACACSサーバ(/etc/passwdファイル)に使用します。TACACS サーバは cisco 社の正式なサポートが得られない点に注意して下さい。フリーなTACACS サーバは、以下から入手できます。
Unix 側のインストールxtacacsd サーバをインストール後、/etc/passwdファイルを使用するならば、 デフォルトのまま起動します。コンフィギュレーションを変更したければ、 -cオプションを使用して、以下のように起動します。
# xtacacsd -c /etc/xtacacsd-confcisco 側の設定
cisco 側の設定は、以下のように行います(Enableパスワードは固定)。
tacacs-server host (tacacsサーバ) tacacs-server last-resort password tacacs-server extended tacacs-server notify connections tacacs-server notify enable tacacs-server notify logout ! line vty 0 password ???????? login tacacs