2.12.3 Urpf
Обычными мерами безопасности на пограничном маршрутизаторе предприятия являются фильтры дейтаграмм, организованные с помощью списков доступа (обсуждение этого вопроса см. в п. 9.8.1 учебного пособия). Обратим внимание на следующие рекомендации:
запретить пропуск дейтаграмм, направленных из внутренней сети (сети организации) в Интернет, но имеющих внешний адрес отправителя;
запретить пропуск датаграмм, прибывающих из Интернета, но имеющих внутренний адрес отправителя.
Cisco IOS, начиная с версии 12.0, предлагает еще один (альтернативный спискам доступа) способ выполнения указанных выше рекомендаций - Unicast Reverse Path Forwarding, uRPF. Если uRPF включен на интерфейсе, то маршрутизатор выполняет проверку каждой дейтаграммы, поступающей из сети на интерфейс . Предположим, дейтаграмма имеет адрес отправителя А. Маршрутизатор примет эту дейтаграмму для дальнейшей обработки, только если его собственный маршрут в узел А лежит через данный интерфейс. Иными словами, через интерфейс, подключенный к Интернету, маршрутизатор будет принимать только дейтаграммы, следующие из Интернета, а через локальный интерфейс - только дейтаграммы, следующие из сети предприятия.
Однако uRPF не будет работать при наличии легальных асимметричных маршрутов - когда дейтаграммы в некий узел А могут отправляться через один интерфейс, а приниматься от узла А - через другой, причем маршрут в А через этот другой интерфейс данному маршрутизатору не известен. С другой стороны, uRPF работает корректно при наличии нескольких эквивалентных (или почти эквивалентных - в случае с EIGRP) маршрутов в узел А, идущих через различные интерфейсы.
Unicast RPF включается в контексте конфигурирования интерфейса командой
router(config-if)# ip verify unicast reverse-path
Предварительно для обработки дейтаграмм на маршрутизаторе необходимо задействовать режим CEF. Если на интерфейсе включена также фильтрация дейтаграмм с помощью списков доступа, то фильтр применяется прежде, чем дейтаграмма будет передана на обработку механизму uRPF
Достоинствами механизма uRPF по сравнению с фильтрацией дейтаграмм по спискам доступа являются
более высокое быстродействие - за счет использования базы данных CEF;
отсутствие административных затрат на актуализацию списков доступа при изменениях адресного пространства.
Число дейтаграмм, которые не пропустил механизм uRPF, выводится командой show ip traffic в последнем разделе ("Drop").
Напомним, что просмотреть полные настройки каждого интерфейса, включая назначенные списки доступа, обработку ICMP-сообщений и т. п. можно командой
router# show ip interface имя_интерфейса
2.12.4 Разное
Отключение неиспользуемых сервисов:
router(config)# no service udp-small-servers
router(config)# no service tcp-small-servers
router(config)# no ip bootp server
router(config)# no ip http server
router(config)# no service finger
router(config)# no cdp run
Блокирование дейтаграмм с опцией Source Routing:
router(config)# no ip source-route
Отключение маршрутизации широковещательных сообщений для предотвращения атак типа smurf (в режиме конфигурации каждого интерфейса):
router(config-if)# no ip directed-broadcast
Однако, возможно, что маршрутизатору понадобится ретранслировать некоторые широковещательные сообщения UDP. Если такая необходимость существует, то, как правило, она ограничивается сообщениями DHCP (порт 67 UDP)- в этом случае маршрутизатор функционирует как DHCP-relay, ретранслируя сообщения между клиентами, находящимися в одной сети, и DHCP-сервером, находящимся в другой.
Команда
router(config-if)# ip helper-address IP-адрес_DHCP_сервера
указывает, что на данном интерфейсе маршрутизатор должен принимать широковещательные сообщения DHCP и переслать их в обычных дейтаграммах на адрес указанного сервера.
Механизм Proxy ARP может применяться маршрутизатором для поддержки работы хостов, не использующих сетевые маски, в бесклассовой сети. Например, хост 1.2.3.4 находится в сети 1.2.3.0/24, но, не поддерживая CIDR, считает, что находится в сети 1.0.0.0/8. При необходимости отправить датаграмму по адресу 1.5.6.7 хост выдает ARP-запрос, поскольку IP-адрес 1.5.6.7 принадлежит сети 1.0.0.0/8. Маршрутизатор, услышав этот запрос, отвечает от имени хоста 1.5.6.7, возвращая свой MAC-адрес. После этого хост 1.2.3.4 отправляет кадр с датаграммой маршрутизатору, а тот маршрутизирует ее далее по назначению. Поскольку все современные системы поддерживают бесклассовую адресацию, механизм Proxy ARP следует отключить (в режиме конфигурации каждого интерфейса):
router(config-if)# no ip proxy-arp
Статические записи в ARP-таблице можно создать командой
router(config)# arp IP-адрес MAC-адрес arpa
а просмотреть содержимое таблицы командой
router# show arp
Рекомендуется создавать статические ARP-записи для ответственных узлов. Это наиболее надежная защита от ARP-атак, целью которых является фальсификация MAC-адресов путем посылки подложных ARP-ответов на запросы маршрутизатора. В результате атаки трафик перенаправляется на узел злоумышленника или на несуществующий адрес (просто теряется).
