Access-list Cisco for Antispoofing

Небольшой такой финт для повышения безопасности. Однажды наблюдал такую картину в одной конторе: пограничный рутер нагрузился почти до 100% CPU. Быстрый анализ логов показал, что это DoS, но пакеты приходили с адресов сети 10.10.10.0/16, при этом извне. То есть понятное дело, что это была подмена адресов или IPspoofing.
Вспомним, что в IP-заголовке есть адрес источника и адрес приемника. Так вот адрес источника можно подменить с помощью всяких утилит, например Yersinia.
Как защититься. Можно повесить ACL на интерфейс, блокирующий адреса, которые на этом интерфейсе придти не могут. К примеру, на интерфейсе, который смотрит наружу, не могут приходить частные адреса типа 172.16.1.0, 192.168.1.0 и т.п. (за исключением тех случаев, если у вас там есть IPSEC-GRE тоннели и используется такая адресация).

Создаем такой ACL  и вешаем его нужный интерфейс:

ip access-list extended ANTISPOOF
deny ip 10.0.0.0 0.255.255.255 any
deny ip 172.16.0.0 0.15.255.255 any
deny ip 192.168.0.0 0.0.255.255 any
deny ip host 255.255.255.255 any
deny ip 224.0.0.0 15.255.255.255 any
permit ip any any

Все приватные сетки заблокированы. 224.0.0.0 – блокируем мультикаст.
Еще вариант. На маршрутизаторах Cisco есть такая фича

ip verify unicast reverse-path 

Для этого должен быть включен CEF. Решение это не всегда подходит. С помощью этой технологии проверяется соответствие адресов по таблицей FIB. Что такое FIB и RIB и как работает cef  это огромная отдельная тема и как-нибудь распишу отдельно.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *