(TK) uRPF (Unicast Reverse Path Forwarding)**

Teoria protokołu uRPF

  • Protokół uRPF (Unicast Reverse Path Forwarding) umożliwia zabezpieczenie rutera brzegowego przed atakami typu „Malicious Traffic”, sprawdzając osiągalność źródłowego adresu IP, względem każdego nadchodzącego pakietu. Protokół uPRF wykorzystuje w tym celu bazę FIB a co za tym idzie funkcji CEF.
  • Protokół uRPF może działać w jednym z trzech następujących trybów:
    • Loose Mode – Źródłowy adres IP nadchodzącego pakietu musi być osiągalny z poziomu bazy FIB.
      • Wspiera wykorzystywanie statycznej trasy domyślnej jako trasy odniesienia.
    • Strict Mode – Źródłowy adres IP nadchodzącego pakietu musi być osiągalny z poziomu bazy FIB, ponadto interfejs na jakim został odebrany dany pakiet, musi być taki sam jak adres następnego przeskoku w tablicy FIB, względem źródłowego adresu IP otrzymanego pakietu.
      • Tryb Strict Mode przekierowuje jedynie pakiety nadchodzące z najlepszej trasy, zapisanej w bazie FIB.
      • Tryb Strict Mode może doprowadzić do porzucenia prawidłowego ruchu sieciowego (Asymmetric Routing).
    • VFR Mode – Źródłowy adres IP nadchodzącego pakietu musi być osiągalny z poziomu bazy FIB względem danej instancji VRF (Tryb ten jest często nazywany protokołem uRPFv3 (Unicast Reverse Path Forwarding version 3)).

Konfiguracja protokołu uRPF

Nowa metoda konfiguracji protokołu uPRF

(config)# interface interfejs

Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

(config-if)# ip verify unicast source reachable-via {rx / any} [allow-default] [allow-self-ping] [ACL-ID]

Aktywuje protokół uPRF na konfigurowanym interfejsie sieciowym.
* rx – Aktywuje protokół uRPF w trybie Strict Mode.
* any – Aktywuje protokół uRPF w trybie Loose Mode.
* allow-default – Zezwala na przeszukanie tras domyślnych, w przypadku, w którym trasa do poszukiwanego adresu źródłowego nie znajduje się w bazie FIB.
* allow-self-ping – Zezwala ruterowi na ping-owanie samego siebie (Cisco nie zaleca stosowania tej opcji, ponieważ może ona narazić urządzenie na ataki typu DoS (Denial-of-Service)).
* ACL-ID – W sytuacji, w której źródłowy adres IP nie znajduje się w bazie FIB, ruter może udzielić dostępu na podstawie listy ACL (Dla wpisów permit).

Stara metoda konfiguracji protokołu uPRF

(config)# interface interfejs

Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

(config-if)# ip verify unicast reverse-path [ExtendedACL]

Aktywuje protokół uPRF na konfigurowanym interfejsie sieciowym, w trybie (Loose Mode). Opcjonalna lista Extended-ACL określa warunkowo przepuszczany ruch sieciowy, zablokowany przez protokół uPRF.

Pozostałe tematy związane z bezpieczeństwem warstwy trzeciej

PDFPRINT

Robert T Kucharski

Cisco Network Engineer in GPW.

Dodaj komentarz