FC2ブログ

下流ネットワークエンジニアの生活

上流工程を夢見る下流工程のネットワークエンジニアがネットワーク技術や資格、身の回りのことを情報発信! Juniper Cisco YAMAHA DELL D-Link AlaxalA F5 CCNA CCNP CCIE ネットワークスペシャリスト

指定期間 の記事一覧

Juniper JUNOS 指定サイズ以上のICMPパケットを拒否するFirewallFilter(ACL)の設定方法

2014.11.30 (Sun)

■例

64byte(IPヘッダ+ICMPヘッダ+データ)までのicmp echoを許可し、
64byte以上を拒否する場合。




★設定例

firewall{
filter ICMP {
term under-64bytes {
from {
packet-length 0-84; <<<許可する範囲を設定
protocol icmp;
}
then {
accept;
}
}
term over-64bytes {
from {
protocol icmp;
}
then {
discard; <<<範囲外のサイズのicmp packetを拒否
}
}
}
}








■通信試験

★64byteの場合

user@MX480 > ping 10.0.0.1 size 56(icmpヘッダ 8byte付加され64 byte)

PING 10.0.0.1 (10.0.0.1): 56 data bytes
64 bytes from 10.0.0.1: icmp_seq=0 ttl=64 time=2.128 ms
64 bytes from 10.0.0.1: icmp_seq=1 ttl=64 time=1.771 ms
^C
--- 10.0.0.1 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 1.771/1.950/2.128/0.179 ms


★65byteの場合

user@MX480 > ping 10.0.0.1 size 57
PING 10.0.0.1 (10.0.0.1): 57 data bytes
^C
--- 10.0.0.1 ping statistics ---
4 packets transmitted, 0 packets received, 100% packet loss


スポンサーサイト



F5 BIG-IPでの影響範囲 SSLv3 脆弱性(CVE-2014-3566)

2014.11.26 (Wed)


本脆弱性の影響



【対象となる機能】
・SSL Profile(Virtual ServerでのSSL)
・Configuration Utility(管理画面(Web GUI))

【脆弱性対象バージョン】
・SSL Profile
v11.0.0 - 11.4.1
v10.0.0 - 10.2.4

・Configuration Utility
v11.0.0 - 11.6.0
v10.0.0 - 10.2.4


SSLv3を利用している場合、プロトコルに存在している脆弱性が悪用され、
暗号化されている通信の内容が漏えいする可能性があります。

この脆弱性は、SSLv3プロトコル自体に内在する問題のため、
BIG-IP固有の実装の影響ではなく、
当該プロトコルを使用する製品で影響を受けます。

本脆弱性の詳細はSOL15702を参照ください。






ワークアラウンド(回避策)

・SSL Profile

BIG-IPが使用する暗号化スイートよりSSLv3を外し、使用しない設定とする
ことで、脆弱性の影響を回避できます。
*設定変更により、SSLv3を用いた通信はできなくなります。TLSなどその他の
暗号化スイートによる通信を行ってください。
*設定変更時にトラフィックへの影響はございません。既存のSSLv3セッション
については接続が維持され、新規接続セッションに関して設定が有効となり
ます。


・Configuration Utility

v11.5.x~v11.6.xのみ
Configuration Utilityに使用される暗号化プロトコルよりSSLv3を外し、
使用 しない設定とすることで、脆弱性の影響を回避できます。

※設定変更により、SSLv3を用いた通信はできなくなります。
 TLSなどその他の 暗号化スイートによる通信を行ってください。

すべてのバージョン
信頼性のあるネットワークからのみ、
Configuration Utilityへのアクセスを許可する事で、
当該脆弱性の影響を軽減する事が可能です。



 | HOME |