ダブルタギング攻撃とルータのACLについて

トランクポートに置いて、ネイティブvlanからのデータにはvlanタグをつけずに転送することを悪用し、vlanタグを2重につけることで不正な通信を行う攻撃ですが、この攻撃はルータのACLで防げると思ったのですが、防げないようです。

なぜルータのACLでは防ぐことができないのか教えていただきたいです。

ダブルタギング攻撃で送るパケットには、送信元IPアドレス、宛先IPアドレスの情報がIPヘッダに格納されているかと思います。

この情報を使用して、IPアドレスベースに通信を拒否するようなACLをルータに設定すれば、通信が出来ず、ダブルタギング攻撃が防げるのではないかと思っています。

行動規範の内容に同意します

回答2件

ベストアンサー

なぜルータのACLでは防ぐことができないのか教えていただきたいです。

このACLがVACLのような特殊なACLではなく、CCNAなどで習う普通のACL (RACL = Router ACL) である前提でお答えします。

ACLで防げない理由ですが、その攻撃トラフィックはルーティングされないためです。

ACLは、SVIやルーテッドポートなどのL3インターフェースにip access-group <ACL> inやip access-group <ACL> outのように設定します。
つまり、ACLはL3インターフェース自身に着信する場合か、ルーティングされる場合のみに評価されます。

ダブルタギングの場合は、ルーティングを使わずにVLANを超える攻撃です。
この攻撃トラフィックは、ルーティングを行うことなく外側のVLAN Tagを外し、内側のVLAN Tagでスイッチングされます。
ルーティングされることなく攻撃が成立するため、原則としてはACLは防御手段にならないと理解しています。

投稿2022/02/27 12:14

編集2022/02/27 12:15