Chống IP Address Spoofing bằng ACLs docx
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (87.04 KB, 4 trang )
Chống IP Address Spoofing bằng ACLs
Mục tiêu: Cấu hình để router hạn chế IP address spoofing
Mô hình:
Mô tả:
- Tiến hành lọc IP address ở phía ngoài dựa theo các tiêu chuẩn đưa ra trong RFC
1918, RFC 3330
- Lọc những ingress traffic, deny những IP address không hợp lệ dựa theo khuyến
cáo trong RFC 2627.
- Mạng bên trong được cho phép ra ngoài, tuy nhiên sẽ bị deny nếu traffic đến từ
phía outside nhưng lại có địa chỉ source là mạng bên trong.
- Lọc ICMP redirect messages và tắt tính năng IP source routing
- Chú ý không block địa chỉ source 0.0.0.0/32 ở interface bên trong, bởi vì DHCP
thường dùng địa chỉ này để gửi requests.
- Cấu hình “Standard NAT”
- Apply toàn bộ cấu hình trên Router 4
- Tạo ACL OUTSIDE_IN
o Lọc ICMP redirects và packets có source từ host 0.0.0.0
o Lọc traffic theo khuyến cáo của RFC 1918
o Lọc traffic theo khuyến cáo của RFC 3330
o Deny các packets có sourced từ mạng bên trong 150.1.4.0/24 theo RFC2627
- Tạo ACL INSIDE_IN
o Lọc ICMP redirects
o Cho phép UDP packets từ host 0.0.0.0/32 đến 10.0.0.4 (địa chỉ của R4) port
BOOTPs
o Cho phép mạng 10.0.0.0/24 ra ngoài theo khuyến cáo của RFC 2627
o Block và log lại các traffic còn lại
- Apply ACL INSIDE_IN lên interface fa0/1 của Router 4 theo chiều in
- Apply ACL OUTSIDE_IN lên interface fa0/0 của Router 4 theo chiều in.
Cấu hình tham khảo:
Bước 1: Cấu hình địa chỉ IP, định tuyến, static NAT
Router 4
!
interface Loopback0
ip address 150.1.4.4 255.255.255.0
ip ospf network point-to-point
!
interface FastEthernet0/0
ip address 155.1.45.4 255.255.255.0
ip nat outside
ip virtual-reassembly
speed auto
!
interface FastEthernet0/1
ip address 10.0.0.4 255.255.255.0
ip nat inside
ip virtual-reassembly
speed auto
!
!
router ospf 1
log-adjacency-changes
network 150.1.4.0 0.0.0.255 area 0
network 155.1.45.0 0.0.0.255 area 0
!
ip classless
!
ip nat inside source static 10.0.0.1 interface Loopback0
!
Router 5
!
interface FastEthernet0/0
ip address 155.1.45.5 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 150.1.5.5 255.255.255.0
duplex auto
speed auto
no keepalive
!
router ospf 1
log-adjacency-changes
network 150.1.5.0 0.0.0.255 area 0
network 155.1.45.0 0.0.0.255 area 0
!
Router 1
!
interface FastEthernet0/0
ip address 10.0.0.1 255.255.255.0
duplex auto
speed auto
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.0.0.4
!
Bước 2: Tạo access-list INSIDE_IN và OUTSIDE_IN
Router 4
- Tắt tính năng IP source routing
!
no ip source-route
!
- Tạo access-list INSIDE_IN
ip access-list extended INSIDE_IN
deny icmp any any redirect
permit ip 10.0.0.0 0.0.0.255 any
permit udp host 0.0.0.0 host 10.0.0.4 eq bootps
deny ip any any log
- Tạo access-list OUTSIDE_IN
ip access-list extended OUTSIDE_IN
remark ==
remark == attacker có thể dùng redirect để spoofing
remark ==
deny icmp any any redirect
remark ==
remark == RFC 1918
remark ==
deny ip 10.0.0.0 0.255.255.255 any
deny ip 172.16.0.0 0.15.255.255 any
deny ip 192.168.0.0 0.0.255.255 any
remark ==
remark == RFC 3330
remark ==
deny ip host 0.0.0.0 any
deny ip 224.0.0.0 31.255.255.255 any
deny ip 127.0.0.0 0.255.255.255 any
deny ip 169.254.0.0 0.0.255.255 any
deny ip 192.0.2.0 0.0.0.255 any
remark ==
remark == RFC 2627
remark ==
deny ip 150.1.4.0 0.0.0.255 any
remark ==
remark == End of List
remark ==
permit ip any any
!
!
- Apply ACLs lên các interface của Router 4
Router 4
!
interface FastEthernet0/0
ip access-group OUTSIDE_IN in
!
interface FastEthernet0/1
ip access-group INSIDE_IN in
!
Bước 3: Kiểm tra
Router 4
R4#show ip access-lists
Extended IP access list INSIDE_IN
10 deny icmp any any redirect
20 permit ip 10.0.0.0 0.0.0.255 any
30 permit udp host 0.0.0.0 host 10.0.0.4 eq bootps
40 deny ip any any log
Extended IP access list OUTSIDE_IN
10 deny icmp any any redirect
20 deny ip 10.0.0.0 0.255.255.255 any
30 deny ip 172.16.0.0 0.15.255.255 any
40 deny ip 192.168.0.0 0.0.255.255 any
50 deny ip host 0.0.0.0 any
60 deny ip 224.0.0.0 31.255.255.255 any
70 deny ip 127.0.0.0 0.255.255.255 any
80 deny ip 169.254.0.0 0.0.255.255 any
900 deny ip 192.0.2.0 0.0.0.255 any
100 deny ip 150.1.4.0 0.0.0.255 any
110 permit ip any any
