SIGN IN YOUR ACCOUNT TO HAVE ACCESS TO DIFFERENT FEATURES

CREATE AN ACCOUNT FORGOT YOUR PASSWORD?

FORGOT YOUR DETAILS?

AAH, WAIT, I REMEMBER NOW!

CREATE ACCOUNT

ALREADY HAVE AN ACCOUNT?
GET SOCIAL
  • BLOG
  • SECURITY ALERTS
  • CONTATO
  • PRIVACIDADE
  • SOBRE
  • LOGIN

Brainwork

  • Certificação
  • Cisco
  • Informação
  • Linux
  • Microsoft
  • Network
  • Security
  • UC
  • Virtualização
  • Wireless
  • Home
  • Cisco
  • Unicast Reverse Path Forwarding (URPF) em roteadores Cisco
05/07/2022

Unicast Reverse Path Forwarding (URPF) em roteadores Cisco

Unicast Reverse Path Forwarding (URPF) em roteadores Cisco

by Arthur Guilherme Lima Ribeiro / quinta-feira, 13 julho 2017 / Published in Cisco, Network, Security

Administradores de redes podem utilizar o Unicast Reverse Path Forwarding (Unicast RPF) para ajudar a diminuir o tráfego malicioso/indesejado nas redes.

Esse sistema de segurança funciona de forma com que o roteador verifique a alcançabilidade do endereço de origem dos pacotes que serão encaminhados. Assim cria um barreira contra ataques do tipo spoofing (falsificação de pacotes), que normalmente são utilizados como parte de ataques de negação de serviço.

O URPF tem três modos de operação: Strict Mode, Loose Mode e Vrf Mode. Nem todos os dispositivos de redes suportam todos esses modos de operação, e neste post não falaremos do URPF em Vrf Mode.

Geralmente quando um pacote unicast chega no roteador, o encaminhamento é realizado com base no endereço IP de destino. O roteador consulta a tabela de roteamento e encaminha o pacote pela interface indicada para atingir o next-hop.

Pelo fato de o roteador não analisar o endereço IP de origem dos pacotes, é possível que atacantes falsifiquem os seus endereços e enviem pacotes que normalmente deveriam ser bloqueados por um firewall ou ACLs.

URPF Strict Mode

O roteador fará duas checagens nos pacotes chegando em uma interface:

  • Existe alguma entrada válida na tabela de roteamento para esta origem?
  • A interface para alcançar origem deste pacote é a mesma que o pacote chegou ?

Se essas duas respostas forem positivas o pacote será aceito, caso contrario o roteador descarta o pacote.

Veja que o roteador R1 tem em sua tabela de roteamento uma entrada para a rede 172.16.16.0/24 apontada para a interface FastEthernet0/0. Um pacote com origem (S = source) 172.16.16.1, recebido na interface F0/0 é aceito e encaminhado. Já o pacote recebido na interface F0/1, com a mesma origem, será descartado, pois não completa os dois fatores de verificação do URPF Strict Mode.

Configuração URPF Stric Mode

Configuramos as interfaces com os seus devidos endereços IPs, e posteriormente habilitamos o URPF com o comando ip verify unicast source reachable-via seguido da opção rx que define o modo como Strict.

Para finalizar inserimos uma rota para a rede de origem saindo pela interface FastEthernet0/0, como mostra o exemplo abaixo.

R1(config)#interface FastEthernet 0/0
R1(config-if)#ip address 192.168.12.1 255.255.255.252
R1(config-if)#ip verify unicast source reachable-via rx

R1(config)#interface FastEthernet 1/0
R1(config-if)#ip address 192.168.13.1 255.255.255.252
R1(config-if)#ip verify unicast source reachable-via rx

R1(config)#ip route 172.16.16.0 255.255.255.0 192.168.12.2

Realizando os testes podemos ver que os pacotes que vem pela interface FastEthernet0/0 são aceitos, o que não ocorre na interface FastEthernet1/0.

Para analisar o funcionamento do URPF, podemos usar o comando show ip interface fastethernet 0/0 e show ip interface fastethernet 0/1, procurando pela opção drops. Note que a interface F0/1 teve 5 pacotes descartados pelo uRPF.

URPF Loose Mode

Nesse modo o roteador fará uma única checagem nos pacotes recebidos:

  • Existe alguma entrada na tabela de roteamento para esta origem?

Se a resposta for positiva o pacote será aceito, caso contrario o descarte será realizado. A interface de retorno do pacote não precisa ser a mesma de onde ele veio.

O Loose Mode é muito utilizado quando roteador se conecta a mais de um ISP e é utilizado roteamento assimétrico.

Veja que o roteador R1 tem em sua tabela de roteamento uma entrada para a rede 172.16.16.0/24 apontando para a interface FastEthernet0/0. Neste caso um pacote com origem 172.16.16.1 será aceito tanto quando chegar pela interface F0/0 como pela interface F0/1.

Configuração URPF Loose Mode

A configuração é semelhante ao exemplo anterior, com a diferença de que agora usamos a opção any após o comando ip verify unicast source reachable-via, indicando o Loose Mode.

Para finalizar inserimos uma rota para a rede de origem saindo pela interface FastEthernet0/0.

R1(config)#interface FastEthernet 0/0
R1(config-if)#ip address 192.168.12.1 255.255.255.252
R1(config-if)#ip verify unicast source reachable-via any

R1(config)#interface FastEthernet 1/0
R1(config-if)#ip address 192.168.13.1 255.255.255.252
R1(config-if)#ip verify unicast source reachable-via any

R1(config)#ip route 172.16.16.0 255.255.255.0 192.168.12.2

Podemos ver que os pacotes são aceitos independentes da interface que chegam no roteador R1, porque a único fator analisado é a existência de uma rota de retorno para o endereço IP de origem do pacote.

Loose Mode com Rota Default

É muito comum a utilização de rota default em redes com dois pontos de saída, neste caso as configurações realizadas anteriormente não se encaixam pelo fato do roteador não ter uma rota especifica para a origem dos pacotes.

Para termos o URPF configurado e funcionando com rota default precisamos usar o atributo allow-default.

Configuração Loose Mode com Rota Default

Utilizamos o mesmo comando ip verify unicast source reachable-via any, e completamos com a opção allow-default. Para finalizar inserimos as rotas default apontando para os IPs dos next-hops.

R1(config)#interface FastEthernet 0/0
R1(config-if)#ip address 192.168.12.1 255.255.255.252
R1(config-if)#ip verify unicast source reachable-via any allow-default

R1(config)#interface FastEthernet 1/0
R1(config-if)#ip address 192.168.13.1 255.255.255.252
R1(config-if)#ip verify unicast source reachable-via any allow-default

R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.12.2

R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.13.2

Assim como anteriormente, podemos ver que os pacotes são aceitos independente da interface por onde chegaram.

Ainda temos a opção de utilizar ACLs para realizar filtragens em conjunto com o URPF.

Referências:

  • Cisco – Unicast Reverse Path Forwarding
  • BCP Nic.br – Antispoofing
  • IETF – BCP84

Até a próxima.

Relacionado

Tagged under: Loose Mode, Segurança, Strict Mode, Unicast Reverse Path Forwarding, URPF

About Arthur Guilherme Lima Ribeiro

linkedin.com/in/arthurglima

What you can read next

(ASA) Enviando syslog por email
End of Life: Cisco 1800, 2800 e 3800
Rota default no BGP

3 Comments to “ Unicast Reverse Path Forwarding (URPF) em roteadores Cisco”

  1. André Ortega says :Responder
    13/07/2017 at 10:06

    Muito bom Arthur.

  2. João Victor says :Responder
    17/07/2017 at 12:31

    Com a configuração Loose Mode com Rota Default, você evita o ataque do tipo spoofing apenas para ips explicitos na tabela de roteamento, correto? Se o ip de origem não estiver na tabela de roteamento, então, ele vai considerar a rota default? É isso?

    1. Arthur Guilherme Lima Ribeiro says :Responder
      17/07/2017 at 14:23

      Correto João, se a tabela de roteamento conter explicitamente uma entrada para o endereço ip do pacote, ele sera descartado.

Deixe um comentário Cancelar resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

POSTS RECENTES

  • Meraki Internet Outages
    Meraki Internet Outages
    29/06/2022
  • Cisco Catalyst na dashboard Meraki
    Cisco Catalyst na dashboard Meraki
    15/06/2022
  • Testando acesso com o Test-NetConnection (PowerShell)
    Testando acesso com o Test-NetConnection (PowerShell)
    31/05/2022
  • Cisco Cybersecurity Giveaway
    Cisco Cybersecurity Giveaway
    23/05/2022
  • Participação no RotaDefaultVideos
    Participação no RotaDefaultVideos
    18/05/2022

Tags

Access-list FMC Firewall Vulnerabilidade senha ISE certificação FirePower ASA Segurança IPS policy-map CCNA DHCP Configuração PIX SDWAN VoIP ACL LAB VPN Switches licença VMware IOS Meraki WLAN Controller CCIE Sorteio IPv6 Cisco CiscoChampion Roteador FTD WIFI EEM Upgrade aniversário Backup QoS Brainwork Catalyst WLC switch Wireless

Arquivo

Login

  • Cadastre-se
  • Acessar
  • Feed de posts
  • Feed de comentários
  • WordPress.org

Acesse Também

  • Blog LabCisco
  • Café com Redes
  • Cisco IOS hints and tricks
  • Cisco Redes
  • Cisco Support Community
  • Coruja de TI
  • Homelaber Brasil
  • Internetwork Expert´s
  • Netfinders Brasil
  • Rota Default
  • TechRebels
  • The Cisco Learning Network

Twitter

Blog: Meraki Internet Outages brainwork.com.br/2022/06/29/m… #CiscoChampion #Meraki #ThousandEyes

Blog: Cisco Catalyst na dashboard Meraki brainwork.com.br/2022/06/15/c… #Catalyst #Cisco #CiscoChampion

@CiscoChampion I'd love to be there 🙁

Como estão suas senhas??? Faz sentido "senhas complexas" ou a única boa opção é usar MFA? pic.twitter.com/aY3JLje1oX

Blog: Testando acesso com o Test-NetConnection (PowerShell) brainwork.com.br/2022/05/31/t… #PowerShell #Test-Connection #Teste

Seguir @brainworkblog
  1. Daniel em Participação no RotaDefaultVideos
  2. Marcelo em Tipos de LSAs e áreas OSPF
  3. Licenciamento Cisco para Controladora Wireless – Smart Licensing – em Cisco Smart Licensing nos Catalysts 9K
  4. meireles abel em Cisco Catalyst na dashboard Meraki
  5. Cisco Champions 2020 – Brainwork em Cisco Champion 2019
Follow @brainworkblog

Brainwork
@brainworkblog

  • Blog: Meraki Internet Outages brainwork.com.br/2022/06/29/mer… #CiscoChampion #Meraki #ThousandEyes
    about 6 dias ago
    Reply Retweet Favorite

Entre em contato:

  • Email: blog@brainwork.com.br
  • Web: www.brainwork.com.br
  • Facebook: fb.com/brainworkblog
  • Twitter: twitter.com/brainworkblog
  • Youtube: youtube.com/brainworkblog
  • Instagram: instagram.com/brainwork.blog
  • GET SOCIAL
Brainwork

© 2008 - 2022 Brainwork. Todos os direitos reservados.
Customização da página por Brainwork.

TOP