Entendendo o Unicast RPF (switches)
Para se proteger contra spoofing de IP, e alguns tipos de ataques de negação de serviço (DoS) e negação de serviço distribuído (DDoS), o encaminhamento de caminho reverso (RPF) unicast verifica se os pacotes estão chegando de um caminho legítimo. Ele faz isso verificando o endereço fonte de cada pacote que chega em uma interface de entrada não confiável e, comparando-o com a entrada da tabela de encaminhamento para seu endereço de origem. Se o pacote for de um caminho válido, ou seja, aquele que o remetente usaria para chegar ao destino, o dispositivo encaminha o pacote para o endereço de destino. Se não for de um caminho válido, o dispositivo descarta o pacote. A menos que seja protegido contra, a spoofing de IP pode ser uma maneira eficaz para os intrusos passarem pacotes IP para um destino como tráfego genuíno, quando na verdade os pacotes não são realmente destinados ao destino.
O Unicast RPF é compatível com as famílias de protocolo IPv4 e IPv6, bem como para a família de endereços de rede privada virtual (VPN). O RPF unicast não é suportado em interfaces configuradas como fontes de túnel. Isso afeta apenas os pacotes de trânsito que saem do túnel.
Existem dois modos de RPF unicast, modo rigoroso e modo solto. O padrão é um modo rigoroso, o que significa que o switch encaminha um pacote apenas se a interface de recebimento for o melhor caminho de retorno para o endereço fonte unicast do pacote. O modo rigoroso é especialmente útil em interfaces não confiáveis (onde usuários ou processos não confiáveis podem colocar pacotes no segmento de rede) e para interfaces simétricas roteadas (ver Quando habilitar o Unicast RPF.) Para obter mais informações sobre O RPF unicast rigoroso, consulte RFC 3704, Filtragem de entrada para redes multihomed em http://www.ietf.org/rfc/rfc3704.txt.
Para habilitar RPF unicast de modo rigoroso em uma interface de borda do cliente selecionada:
[editar interfaces]user@switch# set interface-name unit 0 family inet rpf-check
O outro modo é o modo frouxo, o que significa que o sistema verifica se o pacote tem um endereço de origem com um prefixo correspondente na tabela de roteamento, mas não verifica se a interface de recebimento é o melhor caminho de retorno para o endereço fonte unicast do pacote.
Para habilitar o modo RPF frouxo unicast, digite:
[editar interfaces]user@switch# set interface-name unit 0 family inet rpf-check mode loose
Visão geral do Unicast RPF para switches
O RPF Unicast funciona como um filtro de entrada que reduz o encaminhamento de pacotes IP que podem estar falsificando um endereço. Por padrão, o RPF unicast é desativado nas interfaces do switch. O switch oferece suporte apenas ao método de caminhos ativos para determinar o melhor caminho de retorno para um endereço de origem unicast. O método de caminhos ativos apresenta a melhor entrada de caminho reverso na tabela de encaminhamento. Ele não considera rotas alternativas especificadas usando métodos específicos de protocolo de roteamento ao determinar o melhor caminho de retorno.
Se a tabela de encaminhamento lista a interface de recebimento como a interface a ser usada para encaminhar o pacote de volta à sua fonte unicast, essa será a melhor interface de caminho de retorno.
Implementação do Unicast RPF
- Filtragem de pacotes Unicast RPF
- Solicitações de Bootstrap Protocol (BOOTP) e DHCP
- Manuseio padrão de rota
Filtragem de pacotes Unicast RPF
Quando você habilita o RPF unicast no switch, o switch lida com o tráfego da seguinte maneira:
Se o switch receber um pacote na interface que é o melhor caminho de retorno para o endereço de origem unicast desse pacote, o switch encaminha o pacote.
Se o melhor caminho de retorno do switch para o endereço de origem unicast do pacote não for a interface de recebimento, o switch descarta o pacote.
Se o switch receber um pacote que tenha um endereço IP de origem que não tenha uma entrada de roteamento na tabela de encaminhamento, o switch descarta o pacote.
Solicitações de Bootstrap Protocol (BOOTP) e DHCP
Os pacotes de solicitação de boottrap (BOOTP) e DHCP são enviados com um endereço MAC transmitido e, portanto, o switch não realiza verificações de RPF unicast neles. O switch encaminha todos os pacotes BOOTP e pacotes de solicitação de DHCP sem realizar verificações de RPF unicast.
Manuseio padrão de rota
Se o melhor caminho de retorno à fonte for a rota padrão (0.0.0.0
) e os pontos de rota padrão para reject
, o switch descarta os pacotes. Se a rota padrão aponta para uma interface de rede válida, o switch realiza uma verificação de RPF unicast normal nos pacotes.
No EX4300, a rota padrão não é usada quando o switch está configurado no modo RPF rigoroso unicast.
Quando habilitar o RPF unicast
Habilite o RPF unicast quando quiser garantir que o tráfego que chega em uma interface de rede venha de uma fonte que reside em uma rede que a interface pode alcançar. Você pode habilitar RPF unicast em interfaces não confiáveis para filtrar pacotes falsificados. Por exemplo, um aplicativo comum para RPF unicast é para ajudar a defender uma rede empresarial contra ataques DoS/DDoS vindos da Internet.
Habilite o RPF unicast apenas em interfaces simétricas roteadas, e o mais próximo possível da fonte de tráfego interrompe o tráfego falsificado antes que ele possa proliferar ou alcançar interfaces que não tenham RPF unicast habilitado. Como o RPF unicast é habilitado globalmente nos switches EX3200, EX4200 e EX4300, garanta que todas as interfaces sejam roteadas simetricamente antes de habilitar o RPF unicast nesses switches, como mostrado na Figura 1. Habilitar o RPF unicast em interfaces assimétricas resulta em pacotes de fontes legítimas sendo filtrados. Uma interface simétrica usa a mesma rota em ambas as direções entre a fonte e o destino.
O RPF Unicast é habilitado globalmente nos switches EX3200, EX4200 e EX4300 para, com esses dispositivos, ter certeza de que todas as interfaces são roteadas simetricamente antes de habilitar o RPF unicast nesses switches. Habilitar o RPF unicast em interfaces assimétricas resulta em pacotes de fontes legítimas sendo filtrados.
As interfaces de switch a seguir são mais propensas a serem roteadas simetricamente e, portanto, são candidatos para habilitação de RPF unicast:
A borda do provedor de serviços para um cliente
A vantagem do cliente para um provedor de serviços
Um único ponto de acesso fora da rede (geralmente no perímetro da rede)
Uma rede terminal que tem apenas um link
Nos switches EX3200, EX4200 e EX4300, recomendamos que você habilite o RPF unicast explicitamente em todas as interfaces ou apenas em uma interface. Para evitar possíveis confusões, não a habilite apenas em algumas interfaces:
Habilitar RPF unicast explicitamente em apenas uma interface torna mais fácil se você optar por desabilitar no futuro, porque você deve desativar explicitamente o RPF unicast em cada interface em que você a habilitou explicitamente. Se você ativar explicitamente o RPF unicast em duas interfaces e desabitá-lo em apenas uma interface, o RPF unicast ainda está implícito habilitado globalmente no switch. A desvantagem dessa abordagem é que o switch exibe a bandeira que indica que o RPF unicast é habilitado apenas em interfaces nas quais o RPF unicast está explicitamente habilitado, portanto, embora o RPF unicast esteja habilitado em todas as interfaces, esse status não é exibido.
Habilitar o RPF unicast explicitamente em todas as interfaces torna mais fácil saber se o RPF unicast está habilitado no switch porque cada interface mostra o status correto. (Apenas interfaces nas quais você habilita explicitamente o RPF unicast exibem a bandeira que indica que o RPF unicast está habilitado.) A desvantagem dessa abordagem é que, se você quiser desativar o RPF unicast, você deve desabilitar explicitamente em todas as interfaces. Se o RPF unicast estiver habilitado em qualquer interface, ele será implícito habilitado em todas as interfaces.
Quando não habilitar o Unicast RPF
Normalmente, você não habilitará RPF unicast se:
As interfaces dos switches são multihomed.
Interfaces de switch são interfaces confiáveis.
O BGP está transportando prefixos e alguns desses prefixos não são anunciados ou não são aceitos pelo ISP sob sua política. (O efeito neste caso é o mesmo que filtrar uma interface usando uma lista de acesso incompleta.)
As interfaces de switch enfrentam o núcleo da rede. As interfaces voltadas para o núcleo geralmente são roteadas assimétricamente.
Uma interface roteada assimétrica usa diferentes caminhos para enviar e receber pacotes entre a fonte e o destino, conforme mostrado na Figura 2. Isso significa que, se uma interface receber um pacote, essa interface não corresponderá à entrada da tabela de encaminhamento como o melhor caminho de retorno de volta à fonte. Se a interface de recebimento não for o melhor caminho de retorno para a fonte de um pacote, o RPF unicast faz com que o switch descarte o pacote, embora venha de uma fonte válida.
Não habilite RPF unicast nos switches EX3200, EX4200 e EX4300 se alguma interface de switch for roteada assimétricamente, porque o RPF unicast é habilitado globalmente em todas as interfaces desses switches. Todas as interfaces de switch devem ser roteadas simetricamente para que você habilite RPF unicast sem o risco do switch descartar o tráfego que você deseja encaminhar.
Limitações da implementação de RPF da Unicast nos switches EX3200, EX4200 e EX4300
Nos switches EX3200, EX4200 e EX4300, o switch implementa o RPF unicast globalmente. Você não pode habilitar RPF unicast por interface. O RPF Unicast é desativado globalmente por padrão.
Quando você habilita o RPF unicast em qualquer interface, ele é habilitado automaticamente em todas as interfaces de switch, incluindo grupos de agregação de links (LAGs), interfaces integradas de roteamento e ponte (IRB) e interfaces VLAN roteadas (RVIs).
Quando você desativa RPF unicast na interface (ou interfaces) em que você habilita rPF unicast, ele é desativado automaticamente em todas as interfaces do switch.
Você deve desabilitar explicitamente o RPF unicast em cada interface em que foi explicitamente habilitado ou o RPF unicast permanece habilitado em todas as interfaces do switch.
Os switches QFX, switches OCX e switches EX3200 e EX4200 não executam filtragem de RPF unicast no tráfego multicaminho de igual custo (ECMP). A verificação de RPF unicast examina apenas um caminho de retorno melhor para a fonte do pacote, mas o tráfego ECMP emprega um bloco de endereços que consiste em vários caminhos. Usar RPF unicast para filtrar o tráfego de ECMP nesses switches pode resultar no descarte de pacotes de switch que você deseja encaminhar porque o filtro RPF unicast não examina todo o bloco de endereçoS ECMP.