Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Vérification unicast de transfert de chemin inverse pour les VPN

Comprendre le RPF unicast (commutateurs)

Pour vous protéger contre l’usurpation IP et certains types d’attaques par déni de service (DoS) et par déni de service distribué (DDoS), le RPF (Reverse-Path-Forwarding) unicast vérifie que les paquets arrivent d’un chemin légitime. Pour ce faire, il vérifie l’adresse source de chaque paquet qui arrive sur une interface d’entrée non fiable et, en la comparant à l’entrée de la table de transfert pour son adresse source. Si le paquet provient d’un chemin valide, c’est-à-dire d’un chemin que l’expéditeur utiliserait pour atteindre la destination, l’équipement transfère le paquet à l’adresse de destination. S’il ne s’agit pas d’un chemin valide, l’équipement rejette le paquet. À moins d’être protégé, l’usurpage IP peut être un moyen efficace pour les intrus de transmettre des paquets IP à une destination en tant que trafic authentique, alors qu’en fait, les paquets ne sont pas réellement destinés à la destination.

Le RPF unicast est pris en charge pour les familles de protocoles IPv4 et IPv6, ainsi que pour la famille d’adresses de réseau privé virtuel (VPN). Le RPF unicast n’est pas pris en charge sur les interfaces configurées en tant que sources de tunnel. Cela n’affecte que les paquets de transit sortant du tunnel.

Note: La vérification RPF n’est pas prise en charge sur l’interface compatible vxlan sur les commutateurs QFX Series et EX Series.

Il existe deux modes RPF unicast, le mode strict et le mode lâche. Le mode strict par défaut, c’est-à-dire que le commutateur transfère un paquet uniquement si l’interface de réception est le meilleur chemin de retour vers l’adresse source unicast du paquet. Le mode strict est particulièrement utile sur les interfaces non fiables (où des utilisateurs ou des processus non fiables peuvent placer des paquets sur le segment réseau), ainsi que pour les interfaces à routage symétrique (voir Quand activer le RPF unicast).) Pour plus d’informations sur le RPF unicast strict, voir RFC 3704, Filtrage entrant pour les réseaux multihomed à http://www.ietf.org/rfc/rfc3704.txt.

Pour activer le RPF unicast en mode strict sur une interface client-périphérie sélectionnée :

[modifier les interfaces]user@switch# set interface-name unit 0 family inet rpf-check

L’autre mode est le mode lâche, ce qui signifie que le système vérifie si le paquet a une adresse source avec un préfixe correspondant dans la table de routage, mais il ne vérifie pas si l’interface de réception est le meilleur chemin de retour vers l’adresse source unicast du paquet.

Pour activer le mode RPF unicast, saisissez :

[modifier les interfaces]user@switch# set interface-name unit 0 family inet rpf-check mode loose

Note: Sur les commutateurs Ethernet EX3200, EX4200 et EX4300 de Juniper Networks, le commutateur applique un RPF unicast à l’échelle mondiale à toutes les interfaces lorsque le RPF unicast est configuré sur n’importe quelle interface. Pour plus d’informations, voir Limitations de l’implémentation unicast RPF sur les commutateurs EX3200, EX4200 et EX4300.

Présentation du RPF unicast pour commutateurs

Le RPF unicast fonctionne comme un filtre entrant qui réduit le transfert des paquets IP susceptibles d’usurper une adresse. Par défaut, le RPF unicast est désactivé sur les interfaces du commutateur. Le commutateur prend uniquement en charge la méthode de chemins actifs pour déterminer le meilleur chemin de retour vers une adresse source unicast. La méthode des chemins actifs recherche la meilleure entrée de chemin inverse dans la table de transfert. Il ne prend pas en compte les autres routes spécifiées à l’aide de méthodes spécifiques au protocole de routage pour déterminer le meilleur chemin de retour.

Si la table de transfert répertorie l’interface de réception comme interface à utiliser pour renvoyer le paquet vers sa source unicast, elle est la meilleure interface de retour.

Implémentation RPF unicast

Filtrage de paquets RPF unicast

Lorsque vous activez le RPF unicast sur le commutateur, le commutateur gère le trafic de la manière suivante :

  • Si le commutateur reçoit un paquet sur l’interface qui est le meilleur chemin de retour vers l’adresse source unicast de ce paquet, le commutateur transfère le paquet.

  • Si le meilleur chemin de retour entre le commutateur et l’adresse source unicast du paquet n’est pas l’interface de réception, le commutateur rejette le paquet.

  • Si le commutateur reçoit un paquet dont l’adresse IP source n’a pas d’entrée de routage dans la table de transfert, le commutateur écarte le paquet.

Requêtes BOOTP (Bootstrap Protocol) et DHCP

Les paquets de requête DHCP et BOOTP (Bootstrap Protocol) sont envoyés avec une adresse MAC de diffusion. Le commutateur n’effectue donc pas de vérifications RPF unicast. Le commutateur transfère tous les paquets BOOTP et les paquets de requête DHCP sans effectuer de vérifications RPF unicast.

Gestion des routes par défaut

Si le meilleur chemin de retour vers la source est le routage par défaut (0.0.0.0) et que le routage par défaut pointe vers reject, le commutateur rejette les paquets. Si le routage par défaut pointe vers une interface réseau valide, le commutateur effectue une vérification RPF unicast normale sur les paquets.

Note:

Sur l’EX4300, le routage par défaut n’est pas utilisé lorsque le commutateur est configuré en mode RPF unicast strict.

Quand activer le RPF unicast

Activez le RPF unicast lorsque vous souhaitez vous assurer que le trafic arrivant sur une interface réseau provient d’une source qui se trouve sur un réseau que l’interface peut atteindre. Vous pouvez activer le RPF unicast sur des interfaces non fiables pour filtrer les paquets usurpés. Par exemple, une application courante pour le RPF unicast est d’aider à protéger un réseau d’entreprise contre les attaques DoS/DDoS provenant d’Internet.

Activez le RPF unicast uniquement sur les interfaces à routage symétrique, et au plus près de la source du trafic arrête le trafic usurpé avant qu’il ne puisse proliférer ou atteindre des interfaces qui n’ont pas de RPF unicast activé. Comme le RPF unicast est activé à l’échelle mondiale sur les commutateurs EX3200, EX4200 et EX4300, assurez-vous que toutes les interfaces sont routés symétriquement avant d’activer le RPF unicast sur ces commutateurs, comme illustré en figure 1. L’activation d’un RPF unicast sur des interfaces à routage asymétrique permet de filtrer les paquets provenant de sources légitimes. Une interface à routage symétrique utilise la même route dans les deux sens entre la source et la destination.

Le RPF unicast est activé dans le monde entier sur les commutateurs EX3200, EX4200 et EX4300. Avec ces équipements, assurez-vous que toutes les interfaces sont routés symétriquement avant d’activer le RPF unicast sur ces commutateurs. L’activation d’un RPF unicast sur des interfaces à routage asymétrique permet de filtrer les paquets provenant de sources légitimes.

Figure 1 : interfaces Symmetrically Routed Interfaces à routage symétrique

Les interfaces de commutation suivantes sont les plus susceptibles d’être routés symétriquement et sont donc candidates pour un RPF unicast permettant :

  • La périphérie du fournisseur de services pour un client

  • La périphérie client vers un fournisseur de services

  • Un point d’accès unique hors du réseau (généralement sur le périmètre du réseau)

  • Un réseau de terminaux qui n’a qu’une seule liaison

Sur les commutateurs EX3200, EX4200 et EX4300, nous vous recommandons d’activer explicitement le RPF unicast sur toutes les interfaces ou une seule interface. Pour éviter toute confusion, ne l’activez pas uniquement sur certaines interfaces :

  • L’activation explicite du RPF unicast sur une seule interface facilite la désactivation à l’avenir, car vous devez désactiver explicitement le RPF unicast sur chaque interface sur laquelle vous l’avez explicitement activé. Si vous activez explicitement le RPF unicast sur deux interfaces et que vous le désactivez sur une seule interface, le RPF unicast est toujours implicitement activé globalement sur le commutateur. L’inconvénient de cette approche est que le commutateur affiche l’indicateur indiquant que le RPF unicast est activé uniquement sur les interfaces sur lesquelles le RPF unicast est explicitement activé, de sorte que même si le RPF unicast est activé sur toutes les interfaces, ce statut n’est pas affiché.

  • En activant le RPF unicast explicitement sur toutes les interfaces, il est plus facile de savoir si le RPF unicast est activé sur le commutateur, car chaque interface affiche le statut correct. (Seules les interfaces sur lesquelles vous activez explicitement le RPF unicast affichent l’indicateur indiquant que le RPF unicast est activé.) L’inconvénient de cette approche est que si vous souhaitez désactiver le RPF unicast, vous devez le désactiver explicitement sur chaque interface. Si le RPF unicast est activé sur n’importe quelle interface, il est implicitement activé sur toutes les interfaces.

Quand ne pas activer le RPF unicast

En règle générale, vous n’activez pas le RPF unicast si :

  • Les interfaces de commutation sont multi-foyers.

  • Les interfaces de commutation sont des interfaces de confiance.

  • BGP porte des préfixes et certains de ces préfixes ne sont pas annoncés ou ne sont pas acceptés par le FAI en vertu de sa politique. (Dans ce cas, l’effet est le même que le filtrage d’une interface à l’aide d’une liste d’accès incomplète.)

  • Les interfaces de commutation sont au cœur du réseau. Les interfaces centrales sont généralement routés de manière asymétrique.

Une interface à routage asymétrique utilise différents chemins pour envoyer et recevoir des paquets entre la source et la destination, comme le montre la figure 2. Cela signifie que si une interface reçoit un paquet, cette interface ne correspond pas à l’entrée de la table de transfert en tant que meilleur chemin de retour vers la source. Si l’interface de réception n’est pas le meilleur chemin de retour vers la source d’un paquet, le RPF unicast fait rejeter le paquet même s’il provient d’une source valide.

Figure 2 : interfaces Asymmetrically Routed Interfaces à routage asymétrique
Note:

N’activez pas le RPF unicast sur les commutateurs EX3200, EX4200 et EX4300 si des interfaces de commutation sont routés de manière asymétrique, car le RPF unicast est activé globalement sur toutes les interfaces de ces commutateurs. Toutes les interfaces de commutation doivent être routés symétriquement pour que vous puissiez activer le RPF unicast sans risque que le commutateur se débarrasse du trafic que vous souhaitez transférer.

Limites de l’implémentation unicast RPF sur les commutateurs EX3200, EX4200 et EX4300

Sur les commutateurs EX3200, EX4200 et EX4300, le commutateur implémente le RPF unicast à l’échelle mondiale. Vous ne pouvez pas activer le RPF unicast par interface. Le RPF unicast est globalement désactivé par défaut.

  • Lorsque vous activez le RPF unicast sur n’importe quelle interface, il est automatiquement activé sur toutes les interfaces de commutation, y compris les groupes d’agrégation de liaisons (LAG), les interfaces de routage et de pontage intégrés (IRB) et les interfaces VLAN routées (RRV).

  • Lorsque vous désactivez le RPF unicast sur l’interface (ou les interfaces) sur lesquelles vous avez activé le RPF unicast, il est automatiquement désactivé sur toutes les interfaces de commutateur.

Note:

Vous devez désactiver explicitement le RPF unicast sur chaque interface sur laquelle il a été explicitement activé ou le RPF unicast reste activé sur toutes les interfaces de commutateur.

Les commutateurs QFX, OCX et EX3200 et EX4200 n’effectuent pas de filtrage RPF unicast sur le trafic ECMP (Equal-Cost Multipath). Le contrôle RPF unicast n’examine qu’un seul meilleur chemin de retour vers la source du paquet, mais le trafic ECMP utilise un bloc d’adresses comprenant plusieurs chemins. En utilisant le RPF unicast pour filtrer le trafic ECMP sur ces commutateurs, le commutateur peut rejeter les paquets que vous souhaitez transférer, car le filtre RPF unicast n’examine pas l’ensemble du bloc d’adresses ECMP.

Exemple : configuration d’un RPF unicast (sur un routeur)

Cet exemple montre comment protéger les interfaces entrantes contre les attaques par déni de service (DoS) et par déni de service distribué (DDoS) en configurant le RPF unicast sur une interface de périphérie client pour filtrer le trafic entrant.

Exigences

Aucune configuration spéciale au-delà de l’initialisation de l’équipement n’est nécessaire.

Aperçu

Dans cet exemple, l’équipement A utilise OSPF pour annoncer un préfixe pour la liaison qui se connecte à l’équipement D. L’équipement B a un RPF unicast configuré. OSPF est activé sur les liaisons entre l’équipement B et l’équipement C, ni sur les liaisons entre l’équipement A et l’équipement C, mais pas sur les liaisons entre l’équipement A et l’équipement B. Par conséquent, l’équipement B apprend le chemin vers l’équipement D via l’équipement C.

Si le filtrage entrant est utilisé dans un environnement où DHCP ou BOOTP est utilisé, il faut s’assurer que les paquets dont l’adresse source est 0.0.0.0 et l’adresse de destination 255.255.255.255 sont autorisés à atteindre l’agent relais dans les routeurs le cas échéant.

Cet exemple inclut également un filtre d’échec. Lorsqu’un paquet échoue au contrôle RPF unicast, le filtre d’échec est évalué pour déterminer si le paquet doit être accepté de toute façon. Le filtre d’échec de cet exemple permet aux interfaces de l’équipement B d’accepter les paquets DHCP (Dynamic Host Configuration Protocol). Le filtre accepte tous les paquets dont l’adresse source est 0.0.0.0 et l’adresse de destination 255.255.255.255.

Topologie

La figure 3 montre l’exemple de réseau.

Figure 3 : exemple RPF unicast vers lapoolgy Unicast RPF Sample Topoolgy

Configuration

Configuration rapide cli

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à votre configuration réseau, puis copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie.

Équipement A

Équipement B

Équipement C

Équipement D

Équipement E

Configuration de l’équipement A

Procédure étape par étape

Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface cli, voir Utilisation de l’éditeur CLI en mode de configuration.

Pour configurer l’équipement A :

  1. Configurez les interfaces.

  2. Configurez OSPF.

  3. Configurez la stratégie de routage.

  4. Si vous avez fini de configurer l’équipement A, validez la configuration.

Configuration de l’équipement B

Procédure étape par étape

Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface cli, voir Utilisation de l’éditeur CLI en mode de configuration.

Pour configurer l’équipement B :

  1. Configurez les interfaces.

  2. Configurez OSPF.

  3. Configurez le RPF unicast et appliquez le filtre d’échec optionnel.

  4. (Facultatif) Configurez le filtre d’échec qui est évalué si un paquet échoue au contrôle RPF.

  5. (Facultatif) Configurez uniquement les chemins actifs à prendre en compte dans la vérification RPF.

    Il s’agit du comportement par défaut.

  6. Si vous avez fini de configurer l’équipement B, validez la configuration.

Résultats

Confirmez votre configuration en publiant le show firewall, show interfaces, show protocols, show routing-optionset show policy-options les commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Équipement A

Équipement B

Saisissez les configurations de l’équipement C, de l’équipement D et de l’équipement E, comme illustré dans configuration rapide cli.

Vérification

Vérifiez que la configuration fonctionne correctement.

Confirmer que le RPF unicast est activé

But

Assurez-vous que les interfaces sur l’équipement B ont un RPF unicast activé.

Action
Sens

L’indicateur uRPF confirme que le RPF unicast est activé sur cette interface.

Vérifiez que les adresses source sont bloquées

But

Utilisez la ping commande pour vous assurer que l’équipement B bloque le trafic provenant d’adresses sources inattendues.

Action

Depuis l’équipement A, ping aux interfaces de l’équipement B, en utilisant 10.0.0.17 comme adresse source.

Sens

Comme prévu, l’opération ping échoue.

Confirmer que les adresses source sont débloquées

But

Utilisez la ping commande pour vous assurer que l’équipement B ne bloque pas le trafic lorsque la vérification RPF est désactivée.

Action
  1. Désactiver la vérification RPF sur l’une des interfaces.

  2. Réexécutez l’opération ping.

Sens

Comme prévu, l’opération ping réussit.