Unicast Reverse Path Forwarding

De Wiki BPF
Revisão de 18h51min de 30 de novembro de 2024 por Andredias (discussão | contribs)
Ir para navegação Ir para pesquisar

TL;DR

O uRPF (Unicast Reverse Path Forwarding) ajuda a prevenir spoofing de endereços IP e ataques de negação de serviço. Ele verifica se os pacotes recebidos têm uma rota válida de retorno na tabela de roteamento.

Não use strict em ambientes que voce nao garanta que o upload e download serão pelo mesmo lugar! Nesse caso, utilize Loose!!!! Caso contrario o uRPF dropará pacotes licitos!

  • Strict: Garante simetria de trafego. Prefira usar esse cara em BNG, caso você não tenha nenhum tipo de ECMP no equipamento ou algo que não garantirá a simetria;
  • Loose: Não garante simetria de trafego. Prefira usar esse cara em router de borda.

Recomendo fortemente a leitura abaixo. Mas caso queira pular logo para os comandos, basta usar o índice para tal.

Unicast Reverse Path Forwarding (uRPF)

Introdução

O crescimento das redes IP trouxe desafios significativos em termos de segurança, especialmente no que diz respeito à falsificação de endereços IP (IP spoofing) e ataques de negação de serviço (DoS/DDoS). O Unicast Reverse Path Forwarding (uRPF) é uma técnica usada para mitigar esses riscos, verificando a validade dos endereços IP de origem dos pacotes que entram na rede.

O que é uRPF?

O uRPF é um mecanismo que ajuda a evitar que pacotes com endereços IP de origem falsificados entrem na rede (spoofing). Ele faz isso verificando se existe uma rota de retorno válida para o endereço IP de origem na tabela de roteamento, garantindo que o tráfego possa ser encaminhado de volta ao remetente.

Quem precisa ter uRPF na rede?

Absolutamente toda empresa que prove, de alguma forma, internet, seja ou não um sistema autonomo (AS).

A internet é uma obra coletiva, logo se todos tivessem uRPF rodando, teriamos uma diminuição absurda de ataques DDoS com origens spoofadas.

Modos de Operação do uRPF

Modo Strict (Rigoroso) - Cuidado com ele!

  • Funcionamento: O dispositivo verifica se a melhor rota de retorno para o endereço IP de origem está pela mesma interface em que o pacote foi recebido.
  • Vantagens: Oferece o mais alto nível de segurança contra spoofing.
  • Desvantagens: Pode descartar tráfego legítimo em redes com roteamento assimétrico. Não use strict em ambientes que voce nao garanta que o upload e download serão pelo mesmo lugar! Nesse caso, utilize Loose!!!!
  • Uso Ideal: Redes com roteamento simétrico.

Modo Loose (Flexível)

  • Funcionamento: O dispositivo aceita o pacote se houver qualquer rota de retorno para o endereço IP de origem, independentemente da interface.
  • Vantagens: Mais flexível, adequado para redes com múltiplos caminhos.
  • Desvantagens: Menos seguro que o modo strict.
  • Uso Ideal: Redes com roteamento assimétrico ou múltiplos links de entrada e saída.

Benefícios do uRPF

  • Prevenção de Spoofing: Impede que pacotes com endereços IP de origem falsos entrem na rede.
  • Mitigação de Ataques DoS/DDoS: Reduz o impacto de ataques baseados em falsificação de endereço.
  • Conformidade com BCP 38: Alinha-se às melhores práticas recomendadas para filtragem de endereços de origem.

Limitações do uRPF

  • Roteamento Assimétrico: No modo strict, pode bloquear tráfego legítimo em redes com caminhos de entrada e saída diferentes.
  • Carga de Processamento: Pode aumentar o uso de CPU em dispositivos, afetando o desempenho.
  • Dependência da Tabela de Roteamento: Requer que as rotas estejam corretamente configuradas e atualizadas.

Exemplos de Configuração

A seguir, apresentamos exemplos de como configurar o uRPF em diferentes plataformas:

---

Disponível em “https://wiki.brasilpeeringforum.org/index.php?title=Unicast_Reverse_Path_Forwarding&oldid=3824