GTSMとは
OSPFのGTSM(Generalized TTL Security Mechanism)は、ルーティングプロトコルのセキュリティを強化するための機能です。具体的には、OSPFのネイバー関係を確立する際に使用されるパケットのTTL(Time To Live)値をチェックすることで、パケットが正当なネイバーから送信されたものかどうかを確認します。
通常、OSPFのパケットはルータから直接隣接するルータに送信されます。そのため、パケットのTTL値は通常1です。
GTSMを有効にすると、OSPFは受信したパケットのTTLが一定の値(通常は255に近い値)であることを期待します。TTLが255を下回ると、通信を拒否します。これにより、ネットワーク外部から送信されたパケットや、遠隔地から送信された偽装パケットによる攻撃を防ぐことができます。
OSPFのTTLセキュリティチェック
TTLセキュリティ・チェック機能を有効にすると、OSPFはTTL値が255のパケットを送信し、設定した閾値以下のTTL値を持つパケットを破棄します。この機能により、直接接続されたルータ以外からのパケットを拒否することで、セキュリティが強化されます。TTLセキュリティ・チェックは、OSPFルーター・サブモードで設定でき、すべてのインターフェースに適用されます。デフォルトでは、最大ホップ数は1に設定されています。
GTSMの設定
GTSMはルーターコンフィギュレーションモードとインターフェイスコンフィギュレーションモードで設定することができます。
基本構文(ルーターコンフィギュレーションモード)
Router(config-router)# ttl-security all-interfacesl [ hops hop-count ]
コマンド 内容 hop-count 範囲は1から254です。
仮想リンクや擬似リンクには適用されません。仮想リンクと偽装リンクは個別に設定する必要があります。
基本構文(インターフェイスコンフィギュレーションモード)
Router(config-if)# ip ospf ttl-security [hops hop-count | disable]
コマンド 内容 hop-count 範囲は1から254です。 disable インタフェースの TTL セキュリティを無効にできます。
動作確認
GTSMの設定をします。
R1(config)#router ospf 1
R1(config-router)#ttl-security all-interfaces
パケットを確認するとTTLが255になっていることが確認できます。
ただし、R1のTTLを255と設定することで対抗ルータのR2とのネイバーがダウンしてしまいます。
*Aug 10 11:03:07.886: %OSPF-5-ADJCHG: Process 1, Nbr 2.2.2.2 on GigabitEthernet0/2 from FULL to DOWN, Neighbor Down: Dead timer expired
TTLの不一致によるOSPFパケットがドロップしてしまうので、全ルータで設定を同じにする必要があります。
R2でも同様の設定を実施することでOSPFネイバーがアップします。
R2(config)#router ospf 1
R2(config-router)#ttl-security all-interfaces
R2(config-router)#end
R2#
*Aug 10 11:27:34.641: %SYS-5-CONFIG_I: Configured from console by console
*Aug 10 11:27:39.387: %OSPF-5-ADJCHG: Process 1, Nbr 1.1.1.1 on GigabitEthernet0/1 from LOADING to FULL, Loading Done
参考文献
Configuring OSPF TTL Security Check and OSPF Graceful Shutdown