沖 千里(おき ちさと)
「ネットワークアカデミー」講師,シスコ認定のインストラクタ

今回の問題
難易度CCIEレベル

 インターネットに公開しているWebサーバーが,DoS(サービス不能)攻撃の一種である「SYNフラッド攻撃」を受けている。ルーターでこの攻撃を防ぎ,サーバーがサービスを継続できるようにしなさい。その際ルーターでは,レート制御機能であるCAR(committed access rate)を使ってトラフィックを制限しなさい。CARでは,制御するパケットの平均レートを100kビット/秒,バースト・サイズを18750バイト,超過バースト・サイズを37500バイトに設定しなさい。

問題の図

この問題を別ウインドウで表示

 今回は,シスコ試験における最上位資格であるCCIE*1レベルの問題に挑戦する。その中でも,インターネット接続環境で身近に発生し得る,セキュリティに関する問題を取り上げる。プロバイダの管理者だけでなく,企業の管理者も知っておきたい内容である。

外部からの攻撃をルーターで防ぐ

 今回の問題を確認しよう。ネットワーク構成は,ネットワークがルーターを介してインターネットにつながっているシンプルな構成である。ネットワークには,インターネットに公開しているWebサーバーがある。

 このネットワークで問題が発生した。何者かによって公開Webサーバーに大量のパケットを送り付けられ,Webサーバーがサービスを提供できなくなってしまったのだ。そこで今回は,ルーターのレート制御機能を使ってネットワークに流れるトラフィックを制限し,Webサーバーが提供しているサービスを止めないようにするのが目標である。