Tek noktaya yayın RPF'sinin, izin verilmesi gerekenden farklı kaynak adreslerini önlemesi beklenir. Cisco'nun URPF belgelerini okurken, yönlendirme tablosundan geçmesine izin vererek bir yer-uydu bağlantısı arabiriminde kullanılmasına izin veren seçenekler olduğunu fark ettim.
Benim sorum şu, eğer varsayılan bir rotadan geçerse tüm kaynak adreslerine izin verilmez mi? URPF'nin bu noktada ne faydası olur?
Eminim bir şeyleri kaçırıyorum, bu yüzden gerçekten doğru yönde bir nokta istiyorum.
Yanıtlar:
Tek Noktaya Yayın Ters Yol İletme (RPF) üç farklı modda çalışır ve potansiyel olarak yönlendiricinin saldırı vektörünü, özellikle sahte IP adreslerinden azaltmaya yardımcı olabilir.
(config-if)#ip verify unicast source reachable-via rx
Katı modda, bir yönlendirici gelen paketin kaynak IP adresini eşleşen bir rota için Yönlendirme Bilgi Tabanı (FIB) tablosunda inceler ve kontrol eder. Bu kaynak IP adresine giden yol, alındığı arabirim üzerinden erişilebilirse , paket alınacaktır. Varsayılan olarak, katı modda (yukarıda yapılandırıldığı gibi) varsayılan bir rota dikkate alınmaz.
Belirli bir arabirimdeki Unicast RPF katı modunun yapılandırmasını takiben, bir yönlendirici artık bu arabirime kendini pingleyemez:
#sh ip int bri | ex unas|Int
FastEthernet0/0 11.0.11.1
#ping 11.0.11.1
.....
Success rate is 0 percent (0/5)
URPF bırakılan paketlerin doğrulanması:
#show ip int fa0/0 | i ^ [1-9]+ verification drops
5 verification drops
#show ip traffic | i unicast
0 no route, 5 unicast RPF, 0 forced drop
Bu davranış allow-self-pingsözdizimi eklenerek değiştirilebilir :
(config-if)#ip verify unicast source reachable-via rx allow-self-ping
Ayrıca, sorunuzda belirtildiği gibi, katı mod, gelen paketin kaynak IP adreslerinin varsayılan bir rotaya göre kontrol edilmesine izin verebilir. Bu sözdizimi tarafından etkinleştirilir allow-default:
Katı modda, sözdiziminin allow-defaulttek başına eklenmesi, yalnızca gelen paketin alındığından farklı bir arabirim üzerinden çıkış yapan kaynak IP adresinden alınmasını önleyecektir. Bu, yönlendiricide yapılandırılmış erişim listesi veya boş yol olmadığı varsayılmaktadır. Aldıkları arayüzden erişilebilen tüm yönlendirilebilir kaynak adresleri, belirli rotalarla veya varsayılan rota ile eşleşir.
Bununla birlikte, null yollar kullanacaksanız, ilk olarak URPF kontrolü varsayılan yola ulaşmadan önce en spesifik rota değerlendirilir ve bilinen kötü amaçlı IP aralıkları için bir kara liste (ler) olarak işlev görür.
Örnek - 3.0.0.0/8 kaynaklı tüm trafik URPF kontrolü tarafından kaldırılacaktır:
(config-if)#ip verify unicast source reachable-via rx allow-default
(config)#ip route 3.0.0.0 255.0.0.0 null 0
Bad-Source-RTR#ping 11.0.11.1 so l1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 11.0.11.1, timeout is 2 seconds:
Packet sent with a source address of 3.3.3.3
.....
Success rate is 0 percent (0/5)
Ayrıca, allow-defaultizin verilen ve reddedilen adreslerin yapılandırılmış bir listesini gerçekleştirmek için sözdizimini eklemek yerine bir Erişim Denetim Listesi (ACL) belirtebilirsiniz . Aldıkları arabirimden erişilebilen ve tanımlanmış bir ACL'de eşleştirilen adresler, buna göre bırakılır veya bunlara izin verilir.
!
access-list 23 permit 3.0.0.0 0.255.255.255
access-list 23 deny 4.0.0.0 0.255.255.255 log
access-list 23 permit any
!
(config)#int fa0/0
(config-if)#ip verify unicast source reachable-via rx 23
Son olarak, allow-defaultsözdizimiyle bir ACL belirtebilirsiniz , ancak bunun bir etkisi olmayacaktır. Paketler, allow-defaultseçenekle belirtilen ACL'lere karşı kontrol edilmez .
#ip verify unicast source reachable-via rx allow-default ?
<1-199> A standard IP access list number
<1300-2699> A standard IP expanded access list number
R1(config-if)#ip verify unicast source reachable-via any
Gevşek modda, bir yönlendirici gelen bir paketin kaynak IP adresini inceler ve eşleşen bir rota için FIB tablosunda kontrol eder. Bu kaynak IP adresine giden rotaya ulaşılabilirse, paket, alındığı arabirime bakılmaksızın alınabilir . Varsayılan olarak, gevşek modda (yukarıda yapılandırıldığı gibi) varsayılan bir rota dikkate alınmaz.
Gevşek mod ve katı mod benzer yapılandırma seçeneklerine sahiptir; Temel farklar kullanılan sözdizimidir ( anyvs. rx) ve gelen paketin kaynak IP adresine alındığı arayüz üzerinden ulaşılıp ulaşılamayacağıdır.
(config-if)#ip verify unicast source reachable-via any ?
<1-199> A standard IP access list number
<1300-2699> A standard IP expanded access list number
allow-default Allow default route to match when checking source address
allow-self-ping Allow router to ping itself (opens vulnerability in
verification)
VRF modu, belirli bir VRF'de gevşek veya katı moddan yararlanabilir ve gelen paketin kaynak IP adresini bir eBGP komşusu için yapılandırılmış VRF tablosuna göre değerlendirir.
Referanslar:
Cisco URPF tanıtım belgesi
Tek Noktaya Yayın Ters Yolu İletme URPF yapılandırma kılavuzunu anlama