Netzwerkanalyse, Fehlersuche, Testberichte
Home / News
Netzwerkanalyse
Grundlagen
Verkabelung
Erste Schritte
Baselining
Let's sniff
Tools
Auswerten/Filtern
Typische Probleme 1
Typische Probleme 2
Sicherheit
Bücher
Tutorials
Cacti
DSL einrichten
DynDNS einrichten
m0n0wall | pfSense
Nmap
VirtualBox
Wireshark
FAQ
Know How
Testberichte
Hardware-DB
Netzwerklexikon
Links / Service
Suche
Kontakt
Impressum
Feedback
Sitemap
Know How

Network Ingress Filtering und Unicast Reverse Path Forwarding uRPF

Techniken zur Abwehr gespoofter IP-Pakete
Mirko Kulpa, 01.11.2004

Motivation

Sicherheit spielt im Internet eine immer größere Rolle. Gerade bei verteilten Angriffen, sogenannten Distributed Denial of Service (DDoS) Attacks, werden häufig die Absenderadressen in den IP-Paketen gefälscht. Es geht dem Angreifer ja nicht darum, eine Antwort von seinem Opfer zu erhalten. uRPF ist eine Möglichkeit, gespoofte Absenderadressen zu erkennen.

Die folgende Abbildung zeigt ein einfaches Routernetzwerk mit 4 IP-Netzen.

Funktionsweise uRPF

Vereinfachte Routingtabelle von Router 1

Router 1 kennt das Netz 10.1.0.0 auf dem Interface e0 und die restlichen Netze auf dem Interface e1. Normalerweise nutzt der Router seine Routingtabelle nur für das Weiterleiten von Paketen. Dabei wird nur die Empfängeradresse des jeweiligen IP-Paketes betrachtet.

uRPF

uRPF analysiert bei jedem empfangenen IP-Paket den Absender. Im gezeigten Beispiel, akzeptiert Router 1 auf dem Interface e0 dann nur Pakete, welche eine Absenderadresse aus dem Netz 10.1.0.0/24 enthalten. Pakete mit gespooftem Absender werden vom Router verworfen. Der RFC 2827 beschreibt diese Technik als Network Ingress Filtering.

Die Implementierung von Network Ingress Filtering kann über Access Lists (ACL) oder über die speziellen Features der Routerhersteller erfolgen. Bei Juniper sieht die Konfiguration etwa so aus: 

[edit]

routing-options {

    forwarding-table     {

        unicast-reverse-path (active-paths | feasible-paths);

    }

}

Bei Cisco muss vor dem Einrichten von uRPF zuerst CEF aktivierte werden. uRPF wird direkt auf dem Interface eingerichtet: 

ip cef
!
interface serial 3/0
ip verify unicast reverse-path

Unicast Reverse Path Forwarding ist nicht in jeder Umgebung einsetzbar. Interessant ist die Technik, wenn es zwischen zwei Netzen nur eine Verbindung gibt oder für ein Firmennetz mit nur einem Upstream zu einem ISP. Weitergehende Informationen in englischer Sprache finden Sie in einem Artikel von Cisco.

 

 
© 2004-2023, network lab - we make your net work - Netzwerkforum
aktualisiert am 22.03.2012