Ключевые слова:cisco, unicast, spoofing, (найти похожие документы)
From: Misha Volodko <pablo@honey.org.ua.>
Date: Mon, 28 Nov 2007 14:31:37 +0000 (UTC)
Subject: Предотвращения подделки адресов через Unicast Reverse Path Forwarding
Оригинал: http://techoover.blogspot.com/2007/11/unicast-reverse-path-forwarding.html
Зачастую можно увидеть как сетевые администраторы используют
традиционные списки доступа для предотвращения подделки адресов
(spoofing).
Видимо сказывается привычка выработаная с годами. :)
Тем не менее многие знают или слышали о такой штуке как Unicast
Reverse Path Forwarding.
Как это работает
Для работы Unicast Reverse Path Forwarding должен быть включен cef.
При получении пакета uRPF проверяет соответствует ли адрес источника и
интерфейс через который получен пакет значениям в таблице FIB.
По сути выполняется обратный резолвинг адреса источника используя базу
(reverse lookup) FIB
Решение конечно не универсальное. Его нельзя применять в случае
ассиметричного рутинга (вход по одному интерфейсу, а выход по
другому).
Подробнее можно почитать в RFC 2267.
Настройка
Cisco IOS
В конфигурацию интерфейса необходимо добавить строку
routerA(conf-if)# ip verify unicast reverse-path
PIX/ASA
В режиме глобальной конфигурации необходимо выполнить команду
myasa# ip verify reverse-path interface e0
Проверка состояния rpf
В случае Cisco IOS проверить можно поискав строку относящуюся с rpf в
выводе команды:
RouterA# show cef interface FastEthernet 0/0
IP unicast RPF check is enabled
В случае PIX/ASA всё выглядит похоже:
myasa# show ip verify statistics
interface outside: 21 unicast rpf drops
interface inside: 2738 unicast rpf drops
interface vpn: 0 unicast rpf drops
