В данном разделе описываются некоторые базовые меры безопасности, связанные со способом пересылки IP-пакетов маршрутизатором. Для получения дополнительной информации см. Основные функции IOS.
Борьба со спуфингом.
Многие сетевые атаки основаны на фальсификации, или спуфинге, взломщиком адресов источника IP-датаграмм. Некоторые атаки полностью полагаются на спуфинг; другие атаки отследить намного труднее, когда атакующий "прикрывается" чужим IP-адресом. Таким образом, сетевые администраторы должны прилагать все усилия, чтобы предотвратить спуфинг.
Антиспуфинговые меры должны применяться ко всем точкам сети, там, где это целесообразно. Проще всего (и эффективнее) применять антиспуфинговые меры на границе между крупными блоками адресов или на границе между доменами сетевого администрирования. Как правило, считается нецелесообразным применять антиспуфинг на каждом маршрутизаторе сети, поскольку очень сложно определить, какие адреса источника данных могут легитимно появляться на определенных интерфейсах.
Если ваша компания является поставщиком Интернет-услуг (ISP), то вы, наверное, заметили, что эффективный антиспуфинг в сочетании с другими эффективными мерами безопасности приводит к тому, что крупные клиенты, раздраженные возникшими проблемами, начинают переходить к другим поставщикам. Поставщикам Интернет-услуг следует применять антиспуфинговые меры на телефонных пулах и на других точках соединения с конечными пользователями (см. RFC 2267 ).
Администраторы, отвечающие за корпоративные брандмауэры или пограничные маршрутизаторы, иногда используют средства антиспуфинга, чтобы помешать узлам, находящимся в Интернете, присваивать себе адреса внутренних узлов, однако не предпринимают никаких действий, чтобы помешать внутренним узлам присваивать себе адреса узлов, находящихся в Интернете.
Необходимо предотвращать спуфинг в обоих направлениях. Существуют, по крайней мере, три веских причины использовать в корпоративном брандмауэре антиспуфинг в обоих направлениях:
1.У внутренних пользователей будет меньше искушения организовать сетевую атаку, кроме того, их шансы на успех будут значительно ниже.
2.Вероятность того, что внутренние узлы, имеющие непреднамеренные ошибки в конфигурации, могут создать проблемы для удаленных сайтов, будет ниже. Такие меры с меньшей вероятностью послужат источником жалоб со стороны клиентов или приведут к ухудшению репутации компании.
3.Внешние взломщики часто взламывают сеть, чтобы подготовить в ней платформу для последующих атак. Заинтересованность этих взломщиков будет ниже, если в сети установлена защита от исходящего спуфинга.
Борьба со спуфингом при помощи списков доступа.
К сожалению, будет нецелесообразным просто перечислить список команд, которые призваны обеспечить должную защиту от спуфинга. Настройка списка доступа во многом зависит от условий работы конкретной сети. Основная задача заключается в отсеивании пакетов, которые поступают на интерфейсы, маршрут к которым не является допустимым для предполагаемых исходных адресов пакетов. Например, если на Интернет-интерфейс двухинтерфейсного маршрутизатора, который соединяет корпоративную сеть с Интернетом, поступает датаграмма, в исходном адресе которой "указан" адрес машины, находящейся в корпоративной сети, то такая датаграмма должна быть отброшена.
Подобным образом все датаграммы, которые поступают на интерфейс, подключенный к корпоративной сети, но при этом в поле исходного адреса указан адрес компьютера вне этой сети, должны быть точно так же отброшены. Если позволяют ресурсы CPU, антиспуфинг необходимо применять на всех интерфейсах, на которых возможно определить, какой приходящий трафик является легитимным.
Интернет-провайдеры, передающие транзитный трафик, могут иметь ограниченные возможности по настройке антиспуфинговых списков доступа, но такие ISP обычно могут как минимум отфильтровывать исходящий трафик, который выглядит как созданный в собственном адресном пространстве ISP.
В целом антиспуфинговые фильтры должны использоваться вместе со входными списками доступа. Это означает, что пакеты должны проходить фильтрацию на тех интерфейсах, через которые они поступают на маршрутизатор, а не на интерфейсах, через которые они уходят с маршрутизатора. Фильтрация настраивается при помощи команды конфигурирования интерфейса – ip access-group list in. В некоторых двухпортовых конфигурациях для антиспуфинга можно использовать выходные списки доступа. Однако даже в этом случае работать со входными списками значительно проще. Кроме того, входной список защищает сам маршрутизатор от спуфинговых атак, в то время как выходной список защищает только устройства, следующие за маршрутизатором.
При наличии списков для проверки подлинности адресов эти списки всегда должны отклонять датаграммы с широковещательными адресами источника или адресами источника для многоадресной рассылки, а также датаграммы с зарезервированным адресом "обратной связи", указанным в качестве адреса отправителя. Обычно антиспуфинговый список доступа должен также отфильтровывать все перенаправления ICMP, независимо от адресов отправителя или назначения. Ниже приведены соответствующие команды:
access-list number deny icmp any any redirect
access-list number deny ip 127.0.0.0 0.255.255.255 any
access-list number deny ip 224.0.0.0 31.255.255.255 any
access-list number deny ip host 0.0.0.0 any
Четвертая команда позволяет установить фильтрацию пакетов, поступающих от множественных BOOTP/DHCP-клиентов. Это значит, что такая команда не может использоваться во всех сетевых средах.
Борьба со спуфингом при помощи проверок RPF
Почти во всех версиях операционной системы Cisco IOS, которые поддерживают режим Cisco Express Forwarding (CEF), для маршрутизатора имеется возможность проверить исходный адрес любого пакета на соответствие интерфейсу, через который этот пакет поступил на маршрутизатор. Если, в соответствии с таблицей маршрутизации, входной интерфейс не подходит в качестве пути к исходному адресу, пакет отбрасывается.
Этот метод работает только при симметричной маршрутизации. Если сеть разработана таким образом, что при обычных обстоятельствах трафик из узла A в узел B идет путем, отличным от пути, по которому трафик проходит из узла B в узел A, то проверка всегда будет заканчиваться ошибкой, а взаимодействие между двумя узлами окажется невозможным. Такая ассиметричная маршрутизация характерна для ядра Интернета. Прежде чем включить эту функцию, убедитесь, что сеть не использует асимметричную маршрутизацию.
Данная функция называется проверкой пересылки по обратному пути (reverse path forwarding – RPF) и включается с помощью команды ip verify unicast rpf. Эта функция имеется в программном обеспечении Cisco IOS (версии 11.1CC, 11.1CT, 11.2GS, а также все версии 12.0 и более новые), но для эффективной работы требуется, чтобы был включен режим CEF.
Осуществление контроля за прямыми широковещательными рассылками.
Прямые широковещательные рассылки очень часто используются для атаки smurf (разновидность DoS-атаки). Кроме того, такие рассылки также могут использоваться и для атак, аналогичных атакам smurf.
Прямая широковещательная рассылка представляет собой датаграмму, которую отправляют на широковещательный адрес подсети, с которой компьютер, отправляющий сообщения, не имеет прямого соединения. Прямая широковещательная рассылка пересылается по сети в виде одноадресного пакета до тех пор, пока этот пакет не достигнет целевой подсети, где он преобразуется в широковещательную рассылку канального уровня. В силу особенностей архитектуры IP-адресации только последний маршрутизатор в цепочке, подключенный напрямую к подсети назначения, может окончательно определить прямую широковещательную рассылку. Прямые широковещательные рассылки иногда используются для вполне законных целей. Однако вне сферы финансовых услуг такое использование – редкость.
При атаке смарф злоумышленник, использующий сфальсифицированный адрес отправителя, отправляет эхо-запросы ICMP на адрес прямой широковещательной рассылки. После этого все узлы, принадлежащие атакуемой подсети, посылают отклики на сфальсифицированный адрес. Отправляя непрерывный поток таких запросов атакующий может создать намного больший по объему поток откликов. Таким образом, поток этих откликов может полностью "затопить" узел, адрес которого был сфальсифицирован.
Если для интерфейса Cisco была настроена команда no ip directed-broadcast, тогда направленные широковещательные рассылки, которые в противном случае были бы преобразованы в рассылки канального уровня, будут отброшены на этом интерфейсе. Это означает, что команду no ip directed-broadcast необходимо настроить на всех интерфейсах всех маршрутизаторов, которые подключены к атакуемой подсети. Настроить только маршрутизаторы с брандмауэрами будет недостаточно. Команда no ip directedbroadcast установлена по умолчанию в Cisco IOS версии 12.0 и последующих версий. В более ранних версиях данную команду необходимо применять ко всем интерфейсам LAN, о которых неизвестно, что они пересылают легальные направленные широковещательные рассылки.
Более подробную информацию о методе предотвращения атак смарф на маршрутизаторах с функциями брандмауэра (зависит от схемы сети), а также общие сведения об атаках смарф см. DoS-атаки.
Целостность пути.
Многие атаки зависят от возможности влиять на пути, по которым датаграммы проходят по сети. Получив контроль над маршрутизацией, взломщики могут использовать адрес другого компьютера, чтобы получить обратный трафик. Они также могут перехватывать и считывать чужие данные. Кроме того, маршрутизация может быть нарушена с целью организации DoS-атаки.
Маршрутизация от источника.
Протокол IP поддерживает функцию маршрутизации от источника, которая позволяет отправителю IP-датаграммы управлять маршрутом, по которому эта датаграмма будет отправлена конечному адресату, и, как правило, маршрутом, по которому будет отправлен ответ. В реальных сетях эти параметры редко используются для "законных" целей. Некоторые более старые реализации IP некорректно обрабатывают пакеты с маршрутизацией от источника. Таким образом, можно отправить им датаграммы с параметрами маршрутизации от источника для того, чтобы вызвать сбой на машинах, на которых выполняются старые протоколы IP.
Маршрутизатор Cisco, на котором настроена команда no ip source-route, никогда не будет пересылать IP-пакет, который содержит параметр маршрутизации по источнику. Эту команду необходимо использовать. Исключение составляют случаи, когда для сети требуется маршрутизация от источника.
ICMP-перенаправления.
ICMP-сообщение о перенаправлении указывает конечному узлу использовать конкретный маршрутизатор в качестве пути к определенному месту назначения. В правильно функционирующей IP-сети маршрутизатор отправляет сообщения о перенаправлении только узлам, которые находятся в его собственной подсети. Конечный узел никогда не отправляет сообщение о перенаправлении.
Кроме того, ни одно сообщение о перенаправлении никогда не пересылается более чем по одному сетевому сегменту. Однако злоумышленник может нарушить эти правила. Именно это лежит в основе некоторых сетевых атак. Входящие ICMP-сообщения о перенаправлении необходимо отфильтровывать на входных интерфейсах всех маршрутизаторов, которые находятся на границе двух административных доменов. Кроме того, будет вполне разумно сделать так, чтобы каждый список доступа, который используется на входном интерфейсе маршрутизатора Cisco, отфильтровывал все ICMP-перенаправления. В правильно настроенной сети это никак не скажется на функционировании.
Обратите внимание на то, что эта фильтрация предотвращает только переадресованные атаки, запущенные удаленными нарушителями.
При этом у злоумышленников остается возможность организовать серьезный сбой при помощи перенаправлений, если их узел напрямую подключен к тому же сегменту, что и атакуемый узел.
Аутентификация и фильтр протокола маршрутизации.
При использовании протокола динамической маршрутизации с поддержкой аутентификации эту аутентификацию необходимо включить. Это позволит предотвратить злонамеренные атаки, направленные на инфраструктуру маршрутизации, а также поможет избежать повреждений, вызванных неправильно настроенными "посторонними" устройствами в сети.
По той же самой причине поставщикам услуг и другим операторам больших сетей настоятельно рекомендуется использовать фильтрацию маршрутов (команда distribute-list in), запретив таким образом маршрутизаторам принимать заведомо некорректную информацию о маршрутизации. Несмотря на то, что чрезмерное использование фильтрации маршрутов может свести на нет преимущества динамической маршрутизации, разумное использование этой функции часто помогает предотвратить возникновение нежелательных последствий. Так, например, если вы используете протокол динамической маршрутизации для взаимодействия со шлейфной абонентской сетью, тогда вам следует принимать от этой сети только те маршруты, которые находятся в адресном пространстве, которые вы фактически выделили для данного абонента.
Подробное описание процедуры настройки проверки подлинности маршрутизации и фильтрации маршрутов не являются темой настоящего документа. Документацию можно найти в Интернете и на веб-сайте Cisco. Из-за высокого уровня сложности мы рекомендуем, чтобы новички обратились за консультацией к опытным сотрудникам, прежде чем приступить к конфигурации этих средств в важных сетях.
Источник: blogsvazista.ru/nastroika-bezopasnoi-ip-marshrutizachiu/
Комментариев нет:
Отправить комментарий