uRPF ile IP Spoof Ataklarının Engellemesi

Unicast Reverse Path Forwarding (uRPF) ile IP Spoof Ataklarını Engellemek;

Unicast Reverse Path Forwarding, IP aldatmacalarına karşı geliştirilmiş bir teknolojidir ve genellikle internet servis sağlayıcıları (ISP) tarafından kullanılmaktadır. Bu sayede abonelerinin sahte (spoofed) kaynak (source) IP kullanılmaları engellenerek, bir problem olması durumunda doğrudan ilgili aboneye ulaşılmaktadır. Ayrıca source IP nin değişmesi engellenerek bir takım (Smurf veTribal Flood Network (TFN))..vb flood atakları ve RFC2827 de saptanan IP aldatmacası ataklarının önüne geçilmektedir. İlgili RFC detaylarını aşağıdaki kaynaktan inceleyebilirsiniz.
http://www.ietf.org/rfc/rfc2827.txt

uRPF Nasıl Çalışıyor;

uRPF bir interface (network equipment port) üzerinde aktif hale getirildiği zaman, network cihazı ilgili interface üzerinden geçen bütün trafiği incelemeye başlar ve incelemede kaynak IP ve kaynak interface takibe alınır. Bu incelemenin gerçekleşebilmesi için Cisco network ekipmanlarında CEF (Cisco Express Forwarding) özelliğinin açık olması gerekmektedir. CEF bu işlem için FIB tablolarından faydalanmaktadır. Aslında uRPF doğrulamaları için, FIB üzerinde ekstra bir  çözümleme daha yapılmaktadır.

Interface üzerinden istatiktiksel veriler almak;
Bir interfaceye paket geldiği veya çıktığı zaman bunu iki şekilde gözlemleyebiliriz;

  • Global tablo
  • uRPF’in network ekipmanı üzerinde uygulandığı interface

Global tablo bir problem oluşması durumunda bize networkteki dropları gösterebilir ancak network ekipmanı üzerinde birden fazla interface uygulanması durumunda spesifik olarak interface bilgisi vermemektedir.

Daha sonuç odaklı yaklaştığımızda ise interface üzerinden bakmak ilgili interface üzerinde uRPF sayesinde drop olan paketler hakkında bilgi vermektedir. Bu sayede network ekipmanı üzerinde nerede anomaly bir durum olduğunu gözlemleyebiliriz.

uRFP Tipleri;

uRPF teknolojisinin iki uygulama çeşidi vardır;

  1. Loose Mode (gevşek);
  2. Strict Mode (sıkı);

Loose modunda uRPF uygulanan network ekipmanı kaynak IP nin kendi yönlendirme tablosunda olup olmadığını kontrol eder.

Strict modunda ise uRPF uygulanan network ekipmanı kaynak IP nin yönlendirme tablosunda olmasının yanında birde ilave olarak interface eşleştirmesi yapmaktadır. Strict modda asimetric yönlendirmeler tamamen engellenmektedir.

uRPF teknolojisi daha iyi anlamak adına bir kaç lab yapacağım;

LAB Uygulaması;

  • Loose Mode;

Sarı ile boyalı kısım uRPF in loose mode olduğunu göstermektedir. Any yerine rx kullansaydım o zaman strict mode olacaktı.
Örnek 1;
R1 üzerinden, R2 üzerindeki 2.2.2.2/32 ipsine ping attığımda, yönlendirici IP route lookup yapıyor ve kaynak (source) interface olarak R1 üzerindeki fa0/1 üzerindeki IP’sini alıyor. Bu durumda R2 routerinin route tablosunda ilgili ip subnet olmadığından ve uRPF üzerinde default rotaya bakmaya izin verilmediğinden (opsiyonal olarak var) paketler gidememektedir.

Örnek 2;
Şimdi ise hiç bir konfigurasyon değişikliği yapmadan R2 ip tablosunda bulunan bir kaynak ile ping atalım ve sonuçları görelim.

Örnek 3;
Şimdi ise hiç bir konfigurasyon değişikliği yapmadan R2 ip tablosunda bulunan başka bir kaynak ile ping atalım ve sonuçları görelim. Bu durumda asimetric rota yoktur yani paketlerin gidiş ve geliş yolları aynıdır. R1 – R3 – R2 şeklindedir.

Örnek 4;

Şimdi default rotaya izin verelim.

Default rotadan dolayı şimdi iletişim başarılı olacaktır.

Burada default rotadan kaynaklı tipik bir asimetrik rota örneği vardır. Yani paketlerin gidiş ile dönüş yolları farklıdır.

İlgili rotalardan dolayı R1 üzerinden paketler hedefe ulaşmak için sırasıyla R3 ve R2 gitmektedir. R2 dönüş rotasını bilmediğinden, default route lookup yaparak doğrudan R1 e giderek (R3 e uğramadan) iletişim gerçekleşmektedir.

  • Strict Mode;

Strict mode adındanda anlaşılacağı gibi sıkdır. Bu modda network ekipmanı üzerindeki route tablosu + interface kontrol edilmektedir. Yani paketin giriş ve çıkış interfacesi aynı olmalıdır.

Örnek 1;

Tıpkı loose modda olduğu gibi route tablosunda olmadığından ileşime izin verilmemektedir.

Örnek 2;

Loose modun örnek 2 sinde bu iletişim ilgili ip subnetinin R2 üzerindeki route tablosunda olduğundan gerçekleşmişti. Fakat strict modda iletişim sağlananamaktadır. Bunun sebebi R2 üzerinde paketlerin giren çıkan interfacelerinin eşleşmemesidir.

Örnek 3;

Şimdi ise hiç bir konfigurasyon değişikliği yapmadan tıpki loose modda olduğu gibi R2 ip tablosunda bulunan başka bir kaynak ile ping atalım ve sonuçları görelim. Bu durumda asimetric rota yoktur yani paketlerin gidiş ve geliş yolları aynıdır. R1 – R3 – R2 şeklindedir.

R2 üzerinde giriş ve çıkış interfacesi aynı olduğundan iletişim gerçekleşmiştir. Giriş ve çıkış interfacesi Fa0/1 dir.

Örnek 4;

Şimdi tıpki loose modda olduğu gibi default rotaya izin verelim.

Asitmerik rota durumundan dolayı iletişim sağlanamamaktadır. Yapılan işlemlerin doğruluğunu ise aşağıdaki komutlar ile yapabilirsiniz.

Barış GENÇ
CCIE 27940
CCSI&HCSI
www.cliguru.com

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir