検索
特集/連載

実はセキュリティ対策に有効「ブラックホールルーティング」を使いこなすには?ブラックホールに要注意【後編】

パケットを転送せず破棄するブラックホールルーティングという技術がある。メリットもあるが、意図せず発生してしまうことがある。どのように使いこなせばよいのか。

Share
Tweet
LINE
Hatena

 全てを飲み込む「ブラックホール」のように、ネットワークの世界でもトラフィック(ネットワークを流れるデータ)を転送せず破棄する「ブラックホールルーティング」という技術がある。ブラックホールルーティングにつながる経路は「Nullルート」あるいは「ブラックホールルート」と呼ばれる。

 企業にとってブラックホールルーティングは悪意ある攻撃に対する有効な防御策であるが、設定ミスやハードウェアの故障などで意図せず引き起こす可能性がある。企業がブラックホールに遭遇する可能性を減らすと同時に、セキュリティ対策として使いこなすにはどうすればよいのか。

1.ブラックホールルーティングを防ぐ方法

ネットワークの監視

 異常なトラフィックパターンやループといった異常な動作を検出したり、ブラックホールルーティングを防いだりするには、定期的なネットワーク監視が鍵となる。異常が発生した際、管理者に即座に警告を発するツールが必要だ。

 ネットワーク管理者はデバイスを定期的にチェック、更新、交換することで、ハードウェア起因でのブラックホールルーティングの形成を防ぐことができる。

ルーティング最適化

 ルーティングエラーは無効なアドレスを保持し、ブラックホールルーティングを形成する主要な原因となる。Nullルートと設定ミスを特定することで、ブラックホールルーティングを検出できる。

 ルーターが受信トラフィックの受け入れや転送に失敗することがある。送信元と宛先ホスト間の正確なルーティングパス(経路)を形成するためには、ルーティングテーブル(ルーターに記録される経路情報をまとめた表)の継続的な更新、最適化、フィルタリング、監視、制御が不可欠だ。

ICMPポリシーの修正

 ネットワークのエラー状態を報告するプロトコル「ICMP」(インターネット制御メッセージプロトコル)がある。正常なネットワークでは、ICMPは通信エラーを表示し、ネットワーク内の送信者にステータスメッセージを送信する。

 ブラックホールルーティングでパケット(伝送するデータを小分けにした単位)が破棄された場合、ICMPメッセージが返ってこない場合がある。例えば、送信者が宛先アドレスにICMP Ping要求を発行した場合、ホストが応答しなければ、ブラックホールルーティングが存在するということになる。企業は、パケット損失やダウンタイム中にICMP要求と応答を実装するよう、ICMPポリシーをアップデートする必要がある。

タイムアウト接続

 一方向接続は、企業におけるブラックホールルーティングやミスコミュニケーションを引き起こしやすい。ネットワークインフラにタイムアウト接続があれば、ブラックホールルーティングの影響を軽減できる。タイムアウトは、宛先ホストからの確認応答を繰り返すことで接続を確立する。

 タイムアウト接続を導入してもブラックホールルーティングが完全に防げるわけではない。しかし、導入することで、ブラックホールルーティングを発見して排除するまでの時間を短縮できる。

2.ブラックホールルーティングを積極的に活用する方法

 ブラックホールルーティングは企業にとってメリットもある。以下のような目的で、積極的にブラックホールルーティングを実施している企業もある。

トラフィック制御

 企業は、ブラックホールルーティングを利用してトラフィックを整理し、その悪影響を軽減することがある。例えば、管理者は不要なパケットや悪性のパケットをブラックホールにリダイレクトすることで破棄できる。メンテナンス時に特定のサービスやサーバへのアクセスを一時的に遮断することも可能だ。

DDoS攻撃への対処法

 管理者はブラックホールルーティングの利点を利用し、パケットを一方的に送り込んでサーバやネットワークを停止に追い込むDDoS(分散型サービス拒否)攻撃に対処できる。

 管理者は意図的にトラフィックをブラックホールルーティングにリダイレクトすることで、情報を保護し、制御下にある企業ネットワークインフラ以外へのアクセスを禁止することが可能だ。トラフィックが内部ネットワークに到達する前に、Nullルート経由で受信トラフィックを破棄するという方法もある。

組織間の取り組み

 企業におけるブラックホールルーティング対策には、ネットワークチームとセキュリティチームの協力が必要だ。こうしたチームは常に情報を共有し、ネットワークの信頼性とセキュリティを管理する必要がある。

 ポリシーの調整、計画、モニタリング、監査のために、部門横断的なチームミーティングを実施し、ネットワークデバイスに強力なセキュリティプロトコルと暗号を導入することで、設定ミスや不要なルーティングパスの可能性を排除できる。

TechTarget発 世界のインサイト&ベストプラクティス

米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る