(TK) uRPF (Unicast Reverse Path Forwarding)**

Teoria protokołu uRPF

• Protokół uRPF (Unicast Reverse Path Forwarding) umożliwia zabezpieczenie rutera brzegowego przed atakami typu „Malicious Traffic”, sprawdzając osiągalność źródłowego adresu IP, względem każdego nadchodzącego pakietu. Protokół uPRF wykorzystuje w tym celu bazę FIB a co za tym idzie funkcji CEF.
• Protokół uRPF może działać w jednym z trzech następujących trybów:
  • Loose Mode – Źródłowy adres IP nadchodzącego pakietu musi być osiągalny z poziomu bazy FIB.
    • Wspiera wykorzystywanie statycznej trasy domyślnej jako trasy odniesienia.
  • Strict Mode – Źródłowy adres IP nadchodzącego pakietu musi być osiągalny z poziomu bazy FIB, ponadto interfejs na jakim został odebrany dany pakiet, musi być taki sam jak adres następnego przeskoku w tablicy FIB, względem źródłowego adresu IP otrzymanego pakietu.
    • Tryb Strict Mode przekierowuje jedynie pakiety nadchodzące z najlepszej trasy, zapisanej w bazie FIB.
    • Tryb Strict Mode może doprowadzić do porzucenia prawidłowego ruchu sieciowego (Asymmetric Routing).
  • VFR Mode – Źródłowy adres IP nadchodzącego pakietu musi być osiągalny z poziomu bazy FIB względem danej instancji VRF (Tryb ten jest często nazywany protokołem uRPFv3 (Unicast Reverse Path Forwarding version 3)).

Konfiguracja protokołu uRPF

Nowa metoda konfiguracji protokołu uPRF

(config)# interface interfejs

Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

(config-if)# ip verify unicast source reachable-via {rx / any} [allow-default] [allow-self-ping] [ACL-ID]

Aktywuje protokół uPRF na konfigurowanym interfejsie sieciowym.
* rx – Aktywuje protokół uRPF w trybie Strict Mode.
* any – Aktywuje protokół uRPF w trybie Loose Mode.
* allow-default – Zezwala na przeszukanie tras domyślnych, w przypadku, w którym trasa do poszukiwanego adresu źródłowego nie znajduje się w bazie FIB.
* allow-self-ping – Zezwala ruterowi na ping-owanie samego siebie (Cisco nie zaleca stosowania tej opcji, ponieważ może ona narazić urządzenie na ataki typu DoS (Denial-of-Service)).
* ACL-ID – W sytuacji, w której źródłowy adres IP nie znajduje się w bazie FIB, ruter może udzielić dostępu na podstawie listy ACL (Dla wpisów permit).

Stara metoda konfiguracji protokołu uPRF

(config)# interface interfejs

Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

(config-if)# ip verify unicast reverse-path [Extended–ACL]

Aktywuje protokół uPRF na konfigurowanym interfejsie sieciowym, w trybie (Loose Mode). Opcjonalna lista Extended-ACL określa warunkowo przepuszczany ruch sieciowy, zablokowany przez protokół uPRF.

Pozostałe tematy związane z bezpieczeństwem warstwy trzeciej

• Wstęp do zabezpieczania ruterów
• Control Plane Protection (CPPr)
• Protokoły warstwy Management Plane
• Unicast Reverse Path Forwarding (uPRF)
• Management Plane Protection (MPP)
• Command Scheduler (KRON)