パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

データセンタ内のARP spoofing攻撃で通信改ざんが発生、対策の定石は?」記事へのコメント

  • by Anonymous Coward
    すでに他の方も仰っていますが、ARP偽装を防ぐには
    ルータ等のARPテーブルをスタティック(静的、手動設定)にするしか
    無いかと思います。ただ、サーバの台数などを考えると難しいかも。

    今後は、OSの初期設定時にMACも独自設定(連番など?)するような方法が
    増加するんでしょうか。
    そしてルータ側には、最初から静的なテーブルを読み込ませておくというのはどうでしょう。

    サーバが仮想マシンだったら、その辺も簡単でしょうね。
    (VMWareなら、.vmxファイル内の記述を変更すればok?)
    • by Anonymous Coward
      さくらインターネットのサーバ貸しサービスみたいなものを利用している場合、
      ゲートウェイのARPエントリーをスタティックに設定しちゃうと、さくらが
      機器を入れ替えたりした時点で通信不能になります。
      そうなると、サーバ管理者は何も出来なくなります。

      さくらが一台一台のサーバをその都度設定すればいいのかもしれませんが、
      時間がかかります。
      ダウンタイムがどうしても大きくなってしまう。
      突発的な故障で交換したら、もうパニックですね。

      また、ゲートウェイをVRRPみたいな仕組みで冗長構成とかにしてると
      切り替わったときに大変です。

      同じセグメントにあるサーバのMACアドレスを覚えておき、それがゲートウェイの
      IPアドレスを名乗りだしたら無視するという仕組みでいいんじゃないでしょうか。

      • さくらが一台一台のサーバをその都度設定すればいいのかもしれませんが、
        その他に、入れ替えた機器のMACアドレスを設定し直すって手もありますね。とはいえ、

        また、ゲートウェイをVRRPみたいな仕組みで冗長構成とかにしてると切り替わったときに大変です。
        そんなのも含めて設計するのは大変なことに違いはありません。VRRPとかだと、OSが更新されると動作が変わるなんてことも無いとは言えないし。
        L3機器とL3構成にした負荷分散装置でMACアドレスの付け替えが違ったなんてこともあったなあ。

        サーバを収容するL2SWでサーバ=サーバ間の通信を制限することもできます。例えば、アライドのマルチプルVLAN [allied-telesis.co.jp]とか。
        が、この手のレンタルサーバサービスは、XenとかVMwareとかの仮想サーバで、サーバ間接続は仮想ネットワークでしょう。Linuxの仮想ブリッジにフィルタとか書けるんだっけ?
        親コメント
        • by Anonymous Coward
          >> また、ゲートウェイをVRRPみたいな仕組みで冗長構成とかにしてると切り替わったときに大変です。

          > そんなのも含めて設計するのは大変なことに違いはありません。
          > VRRPとかだと、OSが更新されると動作が変わるなんてことも無いと
          > は言えないし。

          失礼。間違えてました。
          後で気づいたんですが、VRRP自体は仕組み的に仮想MACアドレスを使うので
          StaticにARPテーブルで指定する分には問題ありません。

          > が、この手のレンタルサーバサービスは、XenとかVMwareとかの仮想サーバで、
          > サーバ間接続は仮想ネットワークでしょう。Linuxの仮想ブリッジにフィルタ
          > とか書けるんだっけ?

          さくらインターネットのレンタルサーバの場合は、1台専用サーバですね。
          XenとかVMwareなどは使ってないと思います。

          • 後で気づいたんですが、VRRP自体は仕組み的に仮想MACアドレスを使うのでStaticにARPテーブルで指定する分には問題ありません。
            そうでもないんじゃないかな?VRRP機器の実装によるけど、サーバからVRRP機器へのフレームは、宛先がVRRP用仮想MACアドレスだけど、VRRP機器からサーバへのパケットは、送信元がVRRP機器固有のMACアドレスだったり、L3的にVRRP機器向こう側にある機器のMACアドレスが使われるって場合もあるよ。
            このあたりはVRRPの仕様にはない部分じゃないかと思うので、機器が変わる度、OSが変わる度に検証してみないと解らない。MACアドレスを静的に管理するのは結構難しい。

            さくらインターネットのレンタルサーバの場合は、1台専用サーバですね。
            おお、本当だ。訂正。
            しかし安いねえ。こんだけ安いんじゃ、多少問題があっても文句は言えんと思うな、個人的には。
            文句を言うなら、レベルの高い(かつ、おそらく値段も高い)別の業者と契約すべきなんじゃないかな。
            親コメント

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

処理中...