Data Plane Security Preventing Packet Spoofing with uRPF

REFERENCE

Configuring Unicast Reverse Path Forwarding

Unicast Reverse Path Forwarding Loose Mode

uRFPでのACL設定について

MEMO

  • 受信パケットの送信元アドレスを見て正当な送信元か判断する
    loose モード:経路のみを確認
    strict モード:経路とIFを確認
  • rxがstrict mode、anyがloose mode
R1(config-if)#ip verify unicast source reachable-via ?
  any  Source is reachable via any interface
  rx   Source is reachable via interface on which packet was received

R1(config-if)#ip verify unicast source reachable-via rx ?
  <1-199>          IP access list (standard or extended)
  <1300-2699>      IP expanded access list (standard or extended)
  allow-default    Allow default route to match when checking source address
  allow-self-ping  Allow router to ping itself (opens vulnerability in
                   verification)

 

ACLをつけるとpermit/denyにより次の動作になる

  • ACLにpermitの場合、そのACLに一致したたPacketはuRPF check fail有無に関係なくPassする
  • ACLにdenyがあってもuRPF checkが成功すると廃棄されず、Passする

コメント