パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

データセンタ内のARP spoofing攻撃で通信改ざんが発生、対策の定石は?」記事へのコメント

  • 数が増えるとあんまり現実的ではないなぁ
    • Re: (スコア:1, 参考になる)

      by Anonymous Coward
      スイッチレベルでbroadcastを抑制すればいいんじゃないの?
      ルータと話せればいいだけだし(つーか、他のサーバとスイッチ経由で会話できるってだけで怖いと思うんだけどさ)
      • 通信相手がたまたま隣のサーバであることもありうるのでそれは困ります.
        • NAT環境だと困らない場合もありますね。
          • 困るのレベルによりますけどね.もちろん困らない「場合も」ある事は否定しませんが.
            スイッチ折り返しでいいはずがルータ折り返しになるので,トラフィックの多いサーバが収容されているデータセンターだとそこがボトルネックになりかねません.

            そもそもデータセンターでNATするメリットってあるんですかね.
            データセンターの管理者にとってもサーバの管理者にとってもマッピングの管理/把握が面倒になるだけのような.

            VLANで全サーバのブロードキャストドメインを分けておいて,もったいないお化けが出ないようにNAT,ということならありかもしれない.
            • トラフィックの多いサーバが収容されているデータセンターだとそこがボトルネックになりかねません.

              それって、ルータの選定に失敗してるんじゃ…

              そもそもデータセンターでNATするメリットってあるんですかね.
              <<略>>
              VLANで全サーバのブロードキャストドメインを分けておいて,もったいないお化けが出ないようにNAT,ということならありかもしれない.

              加えて、NAT環境ならCIDRブロックの端から端まで無駄なく使うことができたりしますね。普通は少なくとも両

              • >それって、ルータの選定に失敗してるんじゃ…

                いいえ.
                本来(なにが本来か知りませんけど)ルータが処理する必要のないトラフィックですから,そのために無駄に高価なルータを購入する必要がでてきます.

                >ちなみに、サーバ間で通信させたくないだけなら、マルチプルVLANってのもありますよ。


                私は,サーバ間での通信が必要だ,と主張しているのですよ.

                アドレス使用効率を高めるためのNATというのはこのご時世では有効かもしれません.まだアドレス配布もしていて,価格も上がっていない現状ではそこまでひっ迫しているという話はあまり聞こえては来ませんが,将来のために削れるところは削っておくところも出てきているんでしょうかね.
              • それって、ルータの選定に失敗してるんじゃ…

                いいえ.
                本来(なにが本来か知りませんけど)

                まあ、NAT環境なら、本来処理すべきトラフィックで、NAT環境でないなら、そうでなない、としか言い様がないですね。

                のために無駄に高価なルータを購入する必要がでてきます.

                NAT環境でNAT用にルータと別の機器を準備するって手もあります。

                私は,サーバ間での通信が必要だ,と主張しているのですよ.

                それは知っていますが、#1357158 [srad.jp]で、

              • >VLANで全サーバのブロードキャストドメインを分けておいて

                「VLANで全サーバのL3を分けておいて」と書いた方がよかったですかね.確かにマルチプルVLANでもブロードキャストドメインは分かれてしまうので.
                同じL3のままL2を分割してしまうと隣のサーバと通信できなくなるので,L3を分けるという話です.別コメントでVLANを分ける話が出ていたのでそれを使ってみました.

                >高価なルータを買うのを避けたいとすると、

                これはNATを使うメリットを考えた時の案ですからね.
                必要(でかつトレードオフする)なら導入すればいいのです.

                >L3でVLANを使える高いスイッチが必要になりますよね。

                L3は必要ないですよね.
                L2SWはVLANスイッチングができればいいです.まぁ,必要なものは買うんでしょう,VLAN+NATしたいのだとすれば.

                もちろんVLANもNATも無しで(そして高価な機器を導入しなくても)ARP spoofingを解決する手段があるならそれに越したことはないとは思っていますが.
              • んー、言っていることがよく解らない。

                「VLANで全サーバのL3を分けておいて」と書いた方がよかったですかね.
                <<略>>

                L3でVLANを使える高いスイッチが必要になりますよね。
                L3は必要ないですよね.L2SWはVLANスイッチングができればいいです.
                L3で分けるのなら、L3SW(もしくはルータ)が必要なのでは?
                ルータは既にあるから、それとL2SWを組み合わせて使えば実現不可能ではありませんが、ルータにポートを追加するか、タグVLANサブインターフェースを設定する必要がありそうです。それとNAT処理をさせるのと、どっちが良いか疑問です。
              • 別に「実現不可能ではない」というほど現実離れしたものではありません.
                おっしゃるようにL3SWでやってもいいし,ルータでやってもいい,どちらでもいいです.
              • L3SWでやってもいいし,ルータでやってもいい,どちらでもいいです.
                やはり言っている事がよく解りません。#1357158 [srad.jp]では、

                スイッチ折り返しでいいはずがルータ折り返しになるので,トラフィックの多いサーバが収容されているデータセンターだとそこがボトルネックになりかねません.
                と言っていたのと整合しません。「どちらでもいい」のではなく、「L3でVLANを使える高いスイッチが必要」(#1357210 [srad.jp])なのでは?

                また、#1357296 [srad.jp]では、

                L3は必要ないですよね.L2SWはVLANスイッチングができればいいです.
                って言ってました。これは、L2SW+(既存)ルータで実現、って話だったんですか?ルータにタグVLANを処理させるのと1:1 NATを処理させるのとでは、負荷の点で大差無いと思います。ならば、どちらの場合も「そのために無駄に高価なルータを購入する必要」(#1357176 [srad.jp])を検討すべきでは?
                #1:n NAT(IP masquerade)ならまだ話は解りますが。
                親コメント
              • L3SWでもルータでもいいですけど,必要(な性能とコストがトレードオフする)なら高価な製品を買えばいいんです.
                「無駄に」高価なルータを購入する必要はありません.

                ちなみに私の測定した範囲ですので全ての実装でそうとは言い切れませんが,ルータでの1q tagの処理とNATの処理では,1q tagはハードウェア処理できますが,NATはIPチェックサムの再計算があるので1q tag処理のほうが圧倒的に軽いです.

                ところで,最初の話は「NATが必要な(のでもうそこにある)環境」を想定されていたのですか.
                NATの必要性は提示されていなかったので「無駄に高価な~」という話をしてしまいましたけど,NATが必要だという前提で話をしていたのなら,おっしゃる通りだと思います.
                前提が違ったのなら結果的に議論を誤誘導してしまったわけで,#1357158 [srad.jp]はマイナスモデしてもらって沈めたほうがいいですね.

                本題はあくまで「ARP spoofigを防ぐ」という話です.VLANとかNATとかどうでもいいんです.たまたまそういう技術を使った案を思いついたというだけで.
                私は「ARP spoofingを防ぎつつ隣接サーバとの通信は保障し,おまけでグローバルアドレスを効率的に利用する」ための一つの案を提示しただけです.その概念的議論のために,そのたった一つの案について,ここまで技術的にブレイクダウンする必要があるとは思えません.

                よりよい案があるならそれを出していただければいいですし,そもそも「ARP spoofingを防ぎつつ…」という前提に無理があるというのならそちらを指摘していただければすむ事です.
                親コメント
              • たまたまそういう技術を使った案を思いついたというだけで.<<略>>そのたった一つの案について,ここまで技術的にブレイクダウンする必要があるとは思えません.
                単なる思い付きで、大して検討していない意見だ、というのなら、それはそれで構いません。雑談ですから、理論的に完璧な意見しか許されない、と言うわけではありません。
                親コメント
              • >単なる思い付きで、大して検討していない意見だ
                などと言ったつもりはありませんよ.
                ARP spoofingに直接関係ないレベル以上に掘り下げた検討は本題ではないはずだ,という趣旨です.

                検討ということなら,1q tagの処理性能にしても,(L2|L3)SWやルータのコストや性能にしても,私自身はそういう評価(単独性能評価や相互接続試験など)を多くのベンダの機器で行っています.
                モデルとしての有用性はともかく,技術的に非現実的だとは思っていませんが,それはこのストーリーからはオフトピです.まぁ,すでにオフトピもいいとこなんでもういいですけど.

                どなたか#1357158 [srad.jp]以降沈めてもらえませんかね.
                親コメント

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

処理中...