A funcionalidade uRPF (Unicast Reverse Path Forwarding) protege a rede contra ataques do tipo spoofing. A técnica de spoofing é utilizada por atacantes que falsificam o endereço IP de origem do pacote para os mais diversos fins.
O uRPF pode impedir esses ataques de spoofing com o endereço de origem. Ele verifica se a interface que recebeu um pacote é a interface de saída na FIB, que corresponde ao endereço de origem do pacote. Caso contrário, a uRPF considera um ataque de falsificação e descarta o pacote.
Lembrando que por padrão, para o encaminhamento de pacotes, o roteador valida apenas o endereço de destino de um pacote IP.
Exemplo
Em um exemplo simples, é como se um roteador com uma interface com o endereço de LAN 192.168.1.0/24 receber um pacote com o endereço de origem 172.16.1.20. Esse endereço não faz parte da rede local.
Modos uRPF
O uRPF possui 2 modos distintos (strict e loose) que podem potencialmente ajudar a reduzir ataques com endereços IP falsificados.
[R2-GigabitEthernet1/0] ip urpf ? loose Don't check interface strict Check interface
- Strict uRPF – Para passar a verificação estrita do uRPF, o endereço de origem de um pacote deve ser correspondente ao endereço de destino da interface de saída da FIB. Em alguns cenários (por exemplo, roteamento assimétrico), o Strict uRPF estrito pode descartar pacotes válidos. O Strict uRPF estrito é frequentemente implantado entre um PE e um CE.
[R2-GigabitEthernet1/0] ip urpf strict
- Loose uRPF – Para passar a verificação Loose uRPF, o endereço de origem de um pacote deve corresponder o endereço de destino de uma entrada qualquer da FIB. O Loose uRPF pode evitar descartar pacotes válidos, mas pode deixar passar pacotes de um atacante. O Loose uRPF é frequentemente implementado entre ISPs, especialmente em roteamento assimétrico.
[R2-GigabitEthernet1/0] ip urpf loose
Rota Default
Caso o endereço seja apenas conhecido via rota default, o uRPF continuará bloqueando os endereços. Para permitir os endereços a partir da rota default use o comando “allow-default-route” após a configuração do modo strict ou do loose:
[R2-GigabitEthernet1/0]ip urpf strict allow-default-route
É possível validar o descarte de pacotes através do debug ip urpf
<R2> debug ip urpf *Jan 2 12:21:11:074 2019 R2 URPF/7/debug_info: uRPF URPF-Discard: Packet from 10.12.0.27 via GigabitEthernet2/0 *Jan 2 12:21:11:074 2019 R2 URPF/7/debug_info: uRPF URPF-Discard: Packet from 10.12.0.27 via GigabitEthernet2/0
Até logo!
Referências
http://www.rotadefault.com.br/2017/12/18/unicast-rpf-urpf/
HPE FlexNetwork MSR Router Series – Comware 7 Security Configuration Guide
Diego, acha que consegue postar umas dicas de como prevenir spoofing na lan em ambientes comware?
Obrigado
Olá Paulo, vou tentar montar um material.
vlw pela sugestão