Comprendre le RPF unicast (routeurs)
Pour les interfaces qui acheminent le trafic IPv4 ou IPv6, vous pouvez réduire l’impact des attaques par déni de service (DoS) en configurant le transfert de chemin inverse (RPF) unicast. Le RPF unicast permet de déterminer la source des attaques et rejette les paquets provenant d’adresses sources inattendues sur les interfaces où le RPF unicast est activé.
-
Vous pouvez protéger un réseau en appliquant la fonctionnalité de vérification RPF unicast à la périphérie (sur les interfaces côté client) du réseau. Dans un environnement de FAI, cela peut avoir un impact sur le réseau, ce qui peut imposer une configuration à grande échelle. Si vous avez déjà protégé la périphérie de votre réseau, un paquet avec une adresse source IP usurpée n’apparaîtra même pas dans une interface centrale. Dans ce cas, la vérification RPF unicast n’est pas nécessaire. L’activation de la fonctionnalité RPF unicast peut avoir un impact sur les performances du plan de contrôle, alors utilisez-la là où elle est nécessaire. Il est donc fortement déconseillé d’activer cette fonctionnalité sur les interfaces centrales (internes) du réseau.
Actuellement, sur les plateformes PTX, la configuration de la spécification de flux BGP (flowspec) crée un filtre implicite pour définir l’instance VRF. Sur les plateformes PTX, la recherche de filtre précède la recherche d’adresse IP source/de destination. Par conséquent, la recherche de l’adresse IP source et de destination s’effectue dans le contexte de l’instance VRF.
RPF unicast et route par défaut
Lorsqu’il n’est pas possible de choisir la route active parmi les routes d’une table de routage, le routeur choisit une route par défaut. Une route par défaut est équivalente à une adresse IP de 0.0.0.0/0. Si vous configurez une route par défaut et que vous configurez le RPF unicast sur une interface utilisée par le routeur par défaut, le RPF unicast se comporte différemment de ce qu’il fait autrement.
Pour déterminer si l’itinéraire par défaut utilise une interface, entrez la show route commande :
user@host> show route address
address est l’adresse de saut suivant de l’itinéraire par défaut configuré. La route par défaut utilise les interfaces affichées dans la sortie de la show route commande.
Les sections suivantes décrivent le comportement du RPF unicast lorsqu’une route par défaut utilise une interface et lorsqu’une route par défaut n’utilise pas d’interface :
- Comportement RPF unicast avec une route par défaut
- Comportement RPF unicast sans route par défaut
- RPF unicast avec asymétrie de routage
Comportement RPF unicast avec une route par défaut
Sur tous les routeurs, à l’exception de ceux avec MPC et du routeur MX80, le RPF unicast se comporte comme suit si vous configurez une route par défaut qui utilise une interface configurée avec le RPF unicast :
Mode lâche : tous les paquets sont automatiquement acceptés. Pour cette raison, nous vous recommandons de ne pas configurer le mode lâche RPF unicast sur les interfaces utilisées par la route par défaut.
Mode strict : le paquet est accepté lorsque l’adresse source du paquet correspond à l’une des routes (par défaut ou apprises) accessibles via l’interface. Notez que les itinéraires peuvent être associés à plusieurs destinations. Par conséquent, si l’une des destinations correspond à l’interface entrante du paquet, le paquet est accepté.
Sur tous les routeurs avec MPC et le routeur MX80, le RPF unicast se comporte comme suit si vous configurez une route par défaut qui utilise une interface configurée avec le RPF unicast :
Mode lâche : tous les paquets, à l’exception des paquets dont la source est apprise à partir de la route par défaut, sont acceptés. Tous les paquets dont la source est apprise à partir de la route par défaut sont abandonnés au moteur de transfert de paquets. L’itinéraire par défaut est traité comme s’il n’existait pas.
Mode strict : le paquet est accepté lorsque l’adresse source du paquet correspond à l’une des routes (par défaut ou apprises) accessibles via l’interface. Notez que les itinéraires peuvent être associés à plusieurs destinations. Par conséquent, si l’une des destinations correspond à l’interface entrante du paquet, le paquet est accepté.
Sur tous les routeurs, le paquet n’est pas accepté lorsque l’une des conditions suivantes est remplie :
L’adresse source du paquet ne correspond pas à un préfixe dans la table de routage.
L’interface ne s’attend pas à recevoir un paquet avec ce préfixe d’adresse source.
Comportement RPF unicast sans route par défaut
Si vous ne configurez pas de route par défaut, ou si la route par défaut n’utilise pas d’interface configurée avec le RPF unicast, le RPF unicast se comporte comme décrit dans Configuration du mode strict RPF unicast et Configuration du mode lâche RPF unicast. Pour résumer, le RPF unicast sans route par défaut se comporte comme suit :
Mode strict : le paquet n’est pas accepté lorsque l’une des conditions suivantes est remplie :
L’adresse source du paquet ne correspond pas à un préfixe de la table de routage.
L’interface ne s’attend pas à recevoir un paquet avec ce préfixe d’adresse source.
Mode lâche : le paquet n’est pas accepté lorsque l’adresse source du paquet ne correspond pas à un préfixe de la table de routage.
RPF unicast avec asymétrie de routage
En général, nous vous recommandons de ne pas activer le RPF unicast sur les interfaces internes au réseau, car les interfaces internes sont susceptibles de présenter une asymétrie de routage. L’asymétrie de routage signifie que les chemins de sortie et de retour d’un paquet sont différents. Les routeurs situés au cœur du réseau sont plus susceptibles d’avoir des chemins inverses asymétriques que les routeurs situés à la périphérie du client ou du fournisseur. La figure 1 illustre le RPF unicast dans un environnement présentant une asymétrie de routage.
routage
Sur la figure 1, si vous activez le RPF unicast sur l’interface so-0/0/0, le trafic destiné au routeur A n’est pas rejeté. Si vous activez le RPF unicast sur l’interface so-1/0/1, le trafic provenant du routeur A est rejeté.
Si vous avez besoin d’activer le RPF unicast dans un environnement de routage asymétrique, vous pouvez utiliser des filtres d’échec pour permettre au routeur d’accepter les paquets entrants dont on sait qu’ils arrivent par des chemins spécifiques. Pour obtenir un exemple de filtre d’échec qui accepte les paquets avec une adresse source et une adresse de destination spécifiques, consultez Configuration du RPF unicast.
Configuration du mode strict RPF unicast
En mode strict, le RPF unicast vérifie si le paquet entrant a une adresse source qui correspond à un préfixe dans la table de routage, et si l’interface s’attend à recevoir un paquet avec ce préfixe d’adresse source.
Lorsque le mode de chemin actif est configuré, une liste d’interfaces sortantes de la route active uniquement est créée. Tout paquet arrivant sur ces interfaces est considéré comme valide et est traité.
Si le paquet entrant échoue à la vérification RPF unicast, le paquet n’est pas accepté sur l’interface. Lorsqu’un paquet n’est pas accepté sur une interface, le RPF unicast compte le paquet et l’envoie à un filtre d’échec facultatif. Si le filtre d’échec n’est pas configuré, l’action par défaut consiste à rejeter silencieusement le paquet.
Le filtre d’échec facultatif vous permet d’appliquer un filtre aux paquets qui échouent à la vérification RPF unicast. Vous pouvez définir le filtre d’échec pour effectuer n’importe quelle opération de filtrage, y compris l’acceptation, le rejet, la journalisation, l’échantillonnage ou le contrôle.
Lorsque le RPF unicast est activé sur une interface, les paquets BOOTP (Bootstrap Protocol) et DHCP (Dynamic Host Configuration Protocol) ne sont pas acceptés sur l’interface. Pour permettre à l’interface d’accepter les paquets BOOTP et DHCP, vous devez appliquer un filtre d’échec qui accepte tous les paquets dont l’adresse source est et l’adresse de destination Pour obtenir un exemple de 0.0.0.0 255.255.255.255. configuration, consultez Configuration du RPF unicast.
Pour plus d’informations sur la définition des filtres d’échec, reportez-vous au Guide de l’utilisateur des stratégies de routage, des filtres de pare-feu et des mécanismes de contrôle du trafic.
Pour configurer le RPF unicast, incluez l’instruction rpf-check suivante :
rpf-check <fail-filter filter-name>;
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
-
[edit interfaces interface-name unit logical-unit-number family (inet | inet6)] -
[edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family (inet | inet6)]
L’utilisation de RPF unicast peut avoir plusieurs conséquences lorsqu’elle est implémentée avec des filtres de trafic :
-
Les filtres d’échec RPF sont évalués après les filtres d’entrée et avant les filtres de sortie.
-
Si vous configurez un compteur de filtres pour les paquets abandonnés par un filtre d’entrée et que vous souhaitez connaître le nombre total de paquets abandonnés, vous devez également configurer un compteur de filtres pour les paquets abandonnés par la vérification RPF.
-
Pour compter les paquets qui échouent à la vérification RPF et qui sont acceptés par le filtre d’échec RPF, vous devez configurer un compteur de filtres.
-
Si un filtre d’entrée transfère des paquets ailleurs que dans les tables de routage inet.0 ou inet6.0, la vérification RPF unicast n’est pas effectuée.
-
Si un filtre d’entrée transfère des paquets ailleurs que l’instance de routage pour laquelle l’interface d’entrée est configurée, la vérification RPF unicast n’est pas effectuée.
Dans la liste à puces susmentionnée, l’avant-dernier, l’avant-dernier et le dernier point ne s’appliquent pas aux plates-formes MX, car sur les plates-formes MX, uRPF est traité avant l’exécution des filtres de pare-feu. La vérification uRPF est traitée pour la vérification de l’adresse source avant toute action FBF (transfert basé sur des filtres) est activée pour les interfaces statiques et dynamiques. Cela s’applique aussi bien aux familles IPv4 qu’IPv6.
Sur les routeurs ACX et MX Series :
-
Le filtre d’échec uRPF est pris en charge sur ACX1000, ACX2000, ACX4000, ACX500, ACX5048 et ACX5096. Le filtre n’est pas pris en charge sur ACX5448, ACX710, ACX7100-32C, ACX7100-48, ACX7509 et tous les routeurs de la série ACX7000.
- Le filtre d’échec uRPF ne peut pas correspondre aux paquets ayant échoué lors de la vérification du port d’entrée (mode strict).
- Le filtre d’échec uRPF peut correspondre aux paquets qui échouent à la recherche d’adresse IP source, mais ne peut pas correspondre aux paquets qui échouent à la vérification de l’interface d’entrée (mode strict).
- Le filtre d’échec uRPF s’applique uniquement aux instances du filtre de pare-feu spécifiques à l’interface.
- Les filtres d’échec uRPF ne prennent pas en charge les actions de rejet et de routage d’instance.
Configurez le mode strict RPF unicast et appliquez un filtre d’échec qui permet à l’interface d’accepter les paquets BOOTP et DHCP. Le filtre accepte tous les paquets dont l’adresse source est et l’adresse de destination .0.0.0.0 255.255.255.255
Pour configurer le RPF unicast en mode strict :
Configuration du mode libre RPF unicast
Par défaut, le RPF unicast utilise le mode strict. Le mode lâche RPF unicast est similaire au mode strict RPF unicast et présente les mêmes restrictions de configuration. La seule vérification en mode lâche est de savoir si le paquet a une adresse source avec un préfixe correspondant dans la table de routage ; Le mode loose ne vérifie pas si l’interface s’attend à recevoir un paquet avec un préfixe d’adresse source spécifique. Si aucun préfixe correspondant n’est trouvé, le mode lâche RPF unicast n’accepte pas le paquet. Comme en mode strict, le mode lâche compte le paquet défaillant et le transmet éventuellement à un filtre d’échec, qui accepte, rejette, consigne, échantillonne ou contrôle le paquet.
Lorsque le mode de chemins réalisables est configuré, une liste d’interfaces sortantes des routes actives et inactives est créée. Tout paquet arrivant sur ces interfaces est considéré comme valide et est traité.
Pour configurer le mode lâche RPF unicast, incluez les modeéléments suivants :
Configuration du mode lâche RPF unicast avec possibilité de rejeter des paquets
Le mode lâche RPF unicast a la capacité d’éliminer les paquets dont l’adresse source pointe vers l’interface de rejet. L’utilisation du mode lâche RPF unicast, associée au filtrage Remote Triggered Null Route, constitue un moyen efficace d’éliminer les paquets provenant de sources d’attaque connues. Dans les routeurs de périphérie, les stratégies BGP garantissent que le prochain saut des paquets dont l’adresse source n’est pas approuvée est défini sur une route de rejet. Lorsqu’un paquet arrive au routeur avec une adresse source non fiable, le RPF unicast effectue une recherche de route de l’adresse source. Étant donné que l’itinéraire de l’adresse source pointe vers un saut suivant de rejet, le paquet est abandonné et un compteur est incrémenté. Cette fonctionnalité est prise en charge sur les familles d’adresses IPv4 (inet) et IPv6 (inet6).
Pour configurer le mode lâche RPF unicast avec la possibilité de rejeter des paquets, incluez l’instruction suivante rpf-loose-mode-discard family (inet | inet6) au niveau de la [edit forwarding-options] hiérarchie :
rpf-loose-mode-discard {
family {
inet;
}
}
Dans cet exemple, aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise.
Configurez le mode lâche RPF unicast et appliquez un filtre d’échec qui permet à l’interface d’accepter les paquets BOOTP et DHCP. Le filtre accepte tous les paquets dont l’adresse source est et l’adresse de destination .0.0.0.0 255.255.255.255
Pour configurer le mode lâche RPF unicast avec la possibilité de rejeter des paquets :
Configuration du RPF unicast sur un VPN
Vous pouvez configurer le RPF unicast sur une interface VPN en activant le RPF unicast sur l’interface et en incluant l’instruction interface au niveau de la [edit routing-instances routing-instance-name] hiérarchie.
Vous ne pouvez configurer le RPF unicast que sur les interfaces que vous spécifiez dans l’instance de routage. Cela signifie ce qui suit :
-
Pour les VPN de couche 3, le RPF unicast est pris en charge sur l’interface du routeur CE.
-
Le RPF unicast n’est pas pris en charge sur les interfaces centrales.
-
Pour les instances de routage de routeur virtuel, le RPF unicast est pris en charge sur toutes les interfaces que vous spécifiez dans l’instance de routage.
-
Si un filtre d’entrée transfère des paquets ailleurs que l’instance de routage pour laquelle l’interface d’entrée est configurée, la vérification RPF unicast n’est pas effectuée.
Configurer le RPF unicast sur une interface VPN de couche 3 :
[edit interfaces]
so-0/0/0 {
unit 0 {
family inet {
rpf-check;
}
}
}
[edit routing-instance]
VPN-A {
interface so-0/0/0.0;
}
Configuration du RPF unicast
Configurez le mode strict RPF unicast et appliquez un filtre d’échec qui permet à l’interface d’accepter les paquets BOOTP et DHCP. Le filtre accepte tous les paquets dont l’adresse source est et l’adresse de destination .0.0.0.0 255.255.255.255
[edit firewall]
filter rpf-special-case-dhcp-bootp {
term allow-dhcp-bootp {
from {
source-address {
0.0.0.0/32;
}
address {
255.255.255.255/32;
}
}
then {
count rpf-dhcp-bootp-traffic;
accept;
}
}
term default {
then {
log;
reject;
}
}
}
[edit]
interfaces {
so-0/0/0 {
unit 0 {
family inet {
rpf-check fail-filter rpf-special-case-dhcp-bootp;
}
}
}
}