キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

ASAで常に「normal(waiting)」ステータスと「%ASA-1-106021: Deny protocol reverse path check...」が表示される

2008 年 1 月 25 日(初版)

TAC SR Collection
主な問題

これらの種類のエラー メッセージが表示されるさまざまな理由には次のものがあります。

  • ip verify reverse-path コマンドによる Unicast Reverse Path Forwarding(ユニキャスト RPF)有効化後の、スプーフィング攻撃進行中を示す表示。だれかが着信接続で IP アドレスのスプーフィングを試行中。逆ルート ルックアップとも呼ばれるユニキャスト RPF で、ルートにより表現される発信元アドレスのないパケットが検出され、これがセキュリティ アプライアンスに対する攻撃の一部であるとみなされています。

    この機能は、インターフェイスに対して入力されるパケットに対して作用します。これが outside で設定されている場合、ファイアウォールでは outside から着信するパケットがチェックされます。

    Cisco ASA では source_address に基づいてルートが検索されます。エントリが見つからず、ルートが定義されていない場合、このシステム ログ メッセージが表示され、接続が廃棄されます。

    ルートが存在する場合、ASA ではルートがどのインターフェイスに対応するかがチェックされます。パケットが別のインターフェイスに着信した場合、それはスプーフィングであるか、宛先への複数のパスを持つ非対称ルーティング環境が存在するかのいずれかです。ASA では非対称ルーティングはサポートされていません。

    内部インターフェイスに対して設定されている場合、ASA ではスタティック ルート コマンド文または Routing Information Protocol(RIP)がチェックされます。source_address が見つからない場合、内部ユーザがアドレスをスプーフィングしています。
  • ネットワーク内の IP の重複。たとえば、nat コマンドを使用した failover IP の重複。

解決策

回避策としては次の手順を実行します。

  1. ip verify reverse-path 機能が有効である場合、攻撃は進行中ですが、ユーザによる操作は必要ありません。セキュリティ アプライアンスが攻撃を撃退します。

    詳細は、TAC Case Collection のサービスリクエスト K83434413 を参照してください。

    syslog メッセージの詳細な説明については、『System Log Messages』の「106021」セクションを参照してください。
  2. 適切な Network Address Translation(NAT; ネットワーク アドレス変換)設定を使用してネットワーク内に重複する IP アドレスが存在しないようにします。

    Applying NAT』の「Overlapping Networks」のセクションを参照してください。

備考

製品ファミリ:ASA ハードウェアおよびソフトウェア

エラー: ASA のエラー

ASA ソフトウェアのバージョン:

  • 7.0
  • 7.1

ASA のモデル: ASA 5500

機能およびタスク: フェールオーバー

英語版URL

https://supportforums.cisco.com/docs/DOC-1765

バージョン履歴
改訂番号
1/1
最終更新:
‎05-29-2012 12:39 AM
更新者:
 
ラベル(1)
タグ(1)