Network Ingress Filtering und Unicast Reverse Path Forwarding uRPF
Techniken zur Abwehr gespoofter IP-Pakete
Mirko Kulpa, 01.11.2004
Motivation
Sicherheit spielt im Internet eine immer größere Rolle.
Gerade bei verteilten Angriffen, sogenannten Distributed Denial of Service (DDoS) Attacks,
werden häufig die Absenderadressen in den IP-Paketen gefälscht. Es geht dem Angreifer ja
nicht darum, eine Antwort von seinem Opfer zu erhalten. uRPF ist eine Möglichkeit,
gespoofte Absenderadressen zu erkennen.
Die folgende Abbildung zeigt ein einfaches Routernetzwerk mit 4 IP-Netzen.
Vereinfachte Routingtabelle von Router 1
Router 1 kennt das Netz 10.1.0.0 auf dem Interface e0 und die restlichen Netze
auf dem Interface e1. Normalerweise nutzt der Router seine Routingtabelle nur
für das Weiterleiten von Paketen. Dabei wird nur die Empfängeradresse des jeweiligen
IP-Paketes betrachtet.
uRPF
uRPF analysiert bei jedem empfangenen IP-Paket den Absender.
Im gezeigten Beispiel, akzeptiert Router 1 auf dem Interface e0 dann nur Pakete,
welche eine Absenderadresse aus dem Netz 10.1.0.0/24 enthalten.
Pakete mit gespooftem Absender werden vom Router verworfen.
Der RFC 2827 beschreibt diese Technik als
Network Ingress Filtering.
Die Implementierung von Network Ingress Filtering kann über Access Lists (ACL) oder
über die speziellen Features der Routerhersteller erfolgen.
Bei Juniper sieht die Konfiguration etwa so aus:
[edit]
routing-options {
forwarding-table {
unicast-reverse-path (active-paths | feasible-paths);
}
}
Bei Cisco muss vor dem Einrichten von uRPF zuerst CEF aktivierte werden.
uRPF wird direkt auf dem Interface eingerichtet:
ip cef
!
interface serial 3/0
ip verify unicast reverse-path
Unicast Reverse Path Forwarding ist nicht in jeder Umgebung einsetzbar.
Interessant ist die Technik, wenn es zwischen zwei Netzen nur eine Verbindung gibt oder
für ein Firmennetz mit nur einem Upstream zu einem ISP.
Weitergehende Informationen in englischer Sprache finden Sie in einem
Artikel von Cisco.
|