تا %60 تخفیف خرید برای 6 نفر با صدور مدرک فقط تا
00 00 00

دوره آموزشی CCNP Security SENSS قسمت 6: uRPF

امیرحسین تنگسیری نژاد
امیرحسین تنگسیری نژاد
0 پسند
17 بازدید
0 نظر
1 ماه قبل

خفف Unicast Reverse Path Forwarding, ویژگی Unicast Reverse Pward Forwarding ترافیک مخرب در یک شبکه را محدود می کند. این ویژگی دستگاه ها را قادر می سازد تا دسترسی به آدرس مبدأ را در بسته هایی که ارسال می شوند تأیید کنند و آدرس های ناسزا یا نادرست را در یک شبکه محدود کنند. اگر آدرس IP منبع معتبر نباشد، Unicast Reverse Path Forwarding (RPF) وظیفه دارد که بسته را Discard کند

به طور ساده تر: ویژگی به منظور جلوگیری از حملات از سمت بیرون و درون شبکه با فعال سازی این قابلیت روی تجهیز خود ( فایروال/روتر/سرور و... ) شما توانایی این را دارید که از حملات IP Spoofing در شبکه جلوگیری کنید.

حملات IP Spoofing چیست؟!

همانطور که هم از ترجمه‌ اسمش پیداست( جعل IP ) برای مثال یک فرد مهاجم قصد حملات مختلفی در سمت سازمان ما دارد ولی نمیخواد این حمله از سمت IP Address سیستم خودش باشد. پس به منظور این حمله IP Address خود را با یک سرور و یا یک IP دیگر عوض و با IP دیگری که متعلق به کس دیگری است این حمله را انجام میدهد در این حمله SRC-Address فرد مهاجم میشود IP قربانی دیگری. به طور مثال بخواهم براتون توضیح بدم دو وب سرور وجود دارد یکی IIS و یکی هم Nginx و یک فرد مهاجم, فرد مهاجم قصد ایجاد یک حمله DoS به وب سرور IIS دارد و میخواهد SRC-Address حمله اش IP وب سرور Nginx باشد با استفاده از این حمله اینکار را میتواند انجام دهد.

همانطور که گفتیم مکانیزمی تحت عنوان uRPF وجود دارد که این به منظور این مکانیزم همانطور که گفتم ما توانایی جلوگیری این حمله را درون شبکه خود داریم

این مکانیزم به چندین حالت مختلفتقسیم می شود که به شرح زیر می باشند:

  • Strict Mode
  • Loose Mode
  • Feasible Path
  • VRF Mode

نکته: این مکانیزم هم برای IPv4 هم IPv6 می باشد

پیش نیازات uRPF:

  • برای عملکرد بهتر آن در روتر های Cisco نیاز به فعال بودن Cisco Express Forwarding(CEF) دارد
  • پیکربندی ACL
  • برای عملکرد بهتر RPF از چند ACL برای اجازه به Traffic های از IP های معتبر درون شبکه استفاده کنید و به IP های دیگر ویا نامعتبر اجازه وارد شدن ندید

آدرس های غیرمعتبر درون یک شبکه:

  • آدرس های Broadcast
  • آدرس های Loopback
  • آدرس های Private
  • آدرس های Reserved

نکته: uRPF * از ACL پشتیبانی نمی کند

در اکثر ISP ها از uRPF به منظور جلوگیری از حملات Denial-Of-Service(DOS) به روش های مختلف از جمله Smurf و Tribal-Flood-Network(TFN) با آدرس های IP که جعلی (Spoofed) و یا کار های همچون دور زدن Filtering با استفاده از آدرس های IPV6 جعلی(Spoofed) استفاده می کنند

uRPF illustration

شکل زیر چگونگی همکاری Unicast RPF و CEF را برای تأیید صحیح بودن آدرس های IP نشان می دهد. در این مثال مشتری بسته ای با آدرس منبع 192.168.1.1 را از رابط FDDI 2/0/0 ارسال کرده است. Unicast RPF به سراغ FIB Table می رود و آن را بررسی می کند تا ببیند آیا آدرس 192.168.1.1 مسیر FDDI 2/0/0 را دارد یا خیر. اگر مسیر مطابقت وجود داشته باشد ، بسته ارسال می شود. اگر مسیری مطابق وجود نداشته باشد بسته حذف می شود.تصویر 1-1

تصویر 1-1
تصویر 1-1

فعال سازی بروی IPv4 روتر Cisco

ابتدا وارد محیط Global-Config می شویم و CEF رو فعال می کنیم و وارد Interface مد نظرمان که قرار است uRPF بروی آن فعال شود می شویم(معمولا بروی Interface که به سمت OutSide شبکه ما است فعال می سازیم)

دوره آموزشی CCNP Security SENSS قسمت 6: uRPF

فعال سازی بروی IPv6 روتر Cisco

خب پس از وارد شدن به محیط Global-Config ابتدا CEF و IPv6 Unicast-Routing را فعال می سازیم و پس از وارد شدن به Interface مورد نظر uRPF را بر روی آن فعال می سازیم

دوره آموزشی CCNP Security SENSS قسمت 6: uRPF

فعال سازی uRPF در فایروال سخت افزاری ASA

دوره آموزشی CCNP Security SENSS قسمت 6: uRPF

نویسنده: امیرحسین تنگسیری نژاد

نظر شما
برای ارسال نظر باید وارد شوید.
0 نظر

هیچ نظری ارسال نشده است! اولین نظر برای این مطلب را شما ارسال کنید...