Dùng uRPF để chống IP Address Spoofing Mục tiêu: Cấu hình router dùng uRPF để chống IP Address Spoofing Mô hình: Mô tả: - Cấu hình “static NAT” - Bật tính năng kiểm tra uRPF, bỏ qua không kiểm tra 1 vài networks. - Tất cả các IP spoofing sẽ bị log lại - Tạo 2 interface loopback: lo0 có IP address là 150.1.55.55/24 và lo1 150.1.155.155/24 - Không quảng bá 2 loopback này vào giao thức định tuyến đang chạy - Tạo ACL 100 trên Router 4, permit mạng 150.1.55.0/24. Deny và log các traffic còn lại. - Cấu hình uRPF trên interface fa0/0 của Router 4. Apply acl 100 vào uRPF acl. Cấu hình tham khảo: Bước 1: Cấu hình địa chỉ IP, định tuyến, Static NAT Router 4 ! interface Loopback0 ip address 150.1.4.4 255.255.255.0 ip ospf network point-to-point ! interface FastEthernet0/0 ip address 155.1.45.4 255.255.255.0 ip nat outside ip virtual-reassembly speed auto ! interface FastEthernet0/1 ip address 10.0.0.4 255.255.255.0 ip nat inside ip virtual-reassembly speed auto ! router ospf 1 log-adjacency-changes network 150.1.4.0 0.0.0.255 area 0 network 155.1.45.0 0.0.0.255 area 0 ! ip classless ! ip nat inside source static 10.0.0.1 interface Loopback0 ! Router 5 ! interface Loopback0 ip address 150.1.55.55 255.255.255.0 ! interface Loopback1 ip address 150.1.155.155 255.255.255.0 ! interface FastEthernet0/0 ip address 155.1.45.5 255.255.255.0 duplex auto speed auto ! interface FastEthernet0/0 ip address 155.1.45.5 255.255.255.0 duplex auto speed auto ! interface FastEthernet0/1 ip address 150.1.5.5 255.255.255.0 duplex auto speed auto no keepalive ! router ospf 1 log-adjacency-changes network 150.1.5.0 0.0.0.255 area 0 network 155.1.45.0 0.0.0.255 area 0 ! Router 1 ! interface FastEthernet0/0 ip address 10.0.0.1 255.255.255.0 duplex auto speed auto ! ip classless ip route 0.0.0.0 0.0.0.0 10.0.0.4 ! Bước 2: Cấu hình uRPF trên Router 4 Router 4 ! ip cef ! interface FastEthernet0/0 ip verify unicast reverse-path 100 ! access-list 100 permit ip 150.1.55.0 0.0.0.255 any access-list 100 deny ip any any log ! Lưu ý: - Để tính năng uRPF được thực hiện thì CEF phải được enaled trên router. - Trước tiên uRPF sẽ xác định gói tin có bị spoofed hay không. Nếu đó là một packets bị spoofed thì sẽ dựa vào ACL để xác định hành động tiếp theo đối với gói tin đó. Nếu trong ACL permit thì spoofed packet sẽ được cho phép, deny sẽ drop spoofed packet. - Trong trường hợp không có ACL thì uRPF sẽ tự động drop packets mà nó nghi ngờ là đã bị spoofed Bước 3: Kiểm tra. Router 5 R5#ping 150.1.4.4 source loopback 0 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 150.1.4.4, timeout is 2 seconds: Packet sent with a source address of 150.1.55.55 Success rate is 0 percent (0/5) Router 4 R4#show ip access-lists Extended IP access list 100 10 permit ip 150.1.55.0 0.0.0.255 any (5 matches) 20 deny ip any any log R4#show ip int fa0/0 FastEthernet0/0 is up, line protocol is up Internet address is 155.1.45.4/24 Broadcast address is 255.255.255.255 < output omitted > IP verify source reachable-via RX, allow default, ACL 100 5 verification drops 20 suppressed verification drops Lưu ý: packet đến từ R5, trước tiên uRPF kiểm tra và cho rằng đây là spoofed packet, trong ACL 100 permit mạng 150.1.55.0/24 nên spoofed packet vẫn được cho qua. Tuy nhiên vì không có route 150.1.55.0/24 trong routing table nên R4 không biết đường trả về gói echo-reply. Router 5 R5#ping 150.1.4.4 source loopback 1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 150.1.4.4, timeout is 2 seconds: Packet sent with a source address of 150.1.155.155 Success rate is 0 percent (0/5) Router 4 R4# *Jun 5 09 08.255: %SEC-6-IPACCESSLOGDP: list 100 denied icmp 150.1.155.155 -> 150.1.4.4 (0/0), 2 packets R4#show ip access-lists Extended IP access list 100 10 permit ip 150.1.55.0 0.0.0.255 any (5 matches) 20 deny ip any any log (5 matches) R4#show ip int fa0/0 FastEthernet0/0 is up, line protocol is up Internet address is 155.1.45.4/24 Broadcast address is 255.255.255.255 < output omitted > IP verify source reachable-via RX, allow default, ACL 100 10 verification drops 20 suppressed verification drops R4#show cef int fa0/0 FastEthernet0/0 is up (if_number 4) Corresponding hwidb fast_if_number 4 < output omitted > IP unicast RPF check is enabled Inbound access list is not set < output omitted > Lưu ý: packet đến từ R5, trước tiên uRPF kiểm tra và cho rằng đây là spoofed packet, trong ACL 100 chỉ permit mạng 150.1.55.0/24 và deny tất cả nên spoofed packet bị drop. . Dùng uRPF để chống IP Address Spoofing Mục tiêu: Cấu hình router dùng uRPF để chống IP Address Spoofing Mô hình: Mô tả: - Cấu hình “static NAT” - Bật tính năng kiểm tra uRPF, bỏ qua. 255.255.255.0 ip ospf network point-to-point ! interface FastEthernet0/0 ip address 155.1.45.4 255.255.255.0 ip nat outside ip virtual-reassembly speed auto ! interface FastEthernet0/1 ip address 10.0.0.4. FastEthernet0/0 ip address 10.0.0.1 255.255.255.0 duplex auto speed auto ! ip classless ip route 0.0.0.0 0.0.0.0 10.0.0.4 ! Bước 2: Cấu hình uRPF trên Router 4 Router 4 ! ip cef ! interface FastEthernet0/0 ip