امیرحسین تنگسیری نژاد
مهندس و مدرس شبکه و امنیت سایبری و مدیر کل جزیره هک و امنیت اطلاعات توسینسو

uRPF چیست؟ آموزش راه اندازی uRPF در پلتفرمهای مختلف

امروزه در امان ماندن از آسیب پذیری ها و حملات مختلف سایبری یکی از معضلاتی می‌باشد که اکثر سازمان ها با آن درگیر هستند، انواع مختلفی از آسیب پذیری ها و حملات وجود دارد که به صورت روز افزون درحال افزایش نیز هستند. از این رو یکی از این حملات بسیار خطرناک جعل نشانی آی‌پی یا IP Spoofing می‌باشد

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

بررسی حمله IP Spoofing یاهمان جعل نشانی آی‌پی

در شبکه‌های کامپیوتری، اصطلاح جعل نشانی آی‌پی یا جعل IP، به ایجاد بسته‌های IP با آدرس IP مبدأ جعلی، با هدف پنهان کردن هویت فرستنده یا جعل هویت سیستم کامپیوتری دیگر، مربوط می‌شود. در این مطلب قصد داریم به بررسی چگونگی جلوگیری از این حمله بپردازیم
 
uRPF چیست؟ آموزش راه اندازی uRPF در پلتفرمهای مختلف

بررسی uRPF

کلمه uRPF تشکیل شده از کلمات Unicast Reverse Path Forwarding می‌باشد. مکانیزمی به منظور جلوگیری از حملات جعل IP و یا همان IP Spoofing از سمت داخل و بیرون شبکه. این مکانیزم در چندین حالت مختلف قرار می‌گیرد این حالت ها عبارتند از:
  • Strict Mode
  • Loose Mode
  • Feasible Path
  • VRF Mode

پیاده سازی uRPF در سرور های لینوکسی

برای پیاده سازی این مکانیزم می‌بایست از sysctl استفاده کنیم
sysctl -w net.ipv4.conf.default.rp_filter=1
با استفاده از دستور بالا uRPF در حالت Strict Mode فعال کردیم

پیاده سازی uRPF در فایروال ASA

enable
configure terminal
ip verify reverse-path interface <interface nameif>
در قسمت <interface nameif> باید nameif رابط مد نظر خود را بزنید

پیاده سازی در uRPF در Juniper

interfaces {  
ge-0/0/0 {  
unit 0 {  
family inet {  
rpf-check; 
}  
}  
}  
}

همچنین فعال سازی آن برای IPv6

interfaces {  
ge-0/0/0 {  
unit 0 {  
family inet6 {  
rpf-check;  
}  
}  
}  
}

پیاده سازی uRPF در Cisco

نکته: قبل از فعال سازی uRPF در روتر های سیسکو، می‌بایست CEF را فعال سازی کنید
ip cef
interface GigabitEthernet0/1
ip verify unicast source reachable-via rx
همچنین برای IPv6
نکته: برای IPv6 می‌بایست IPv6 CEF و IPv6 Unicast routing را نیز فعال سازی کنید
ipv6 unicast-routing
ipv6 cef
interface fastEthernet 0/0 Ipv6 verify unicast reverse-path

پیاده سازی uRPF در Mikrotik:

/ip settings set rp-filter=strict

پیاده سازی uRPF در FortiGate:

set strict-src-check enable

پیاده سازی uRPF در Huawei:

system-view
interface interface-type interface-number
ip urpf enable
commit
 
نویسنده: امیرحسین تنگسیری نژاد

 


امیرحسین تنگسیری نژاد
امیرحسین تنگسیری نژاد

مهندس و مدرس شبکه و امنیت سایبری و مدیر کل جزیره هک و امنیت اطلاعات توسینسو

متخصص امنیت اطلاعات و کارشناس شکار تهدیدات بانک ملی ایران ، دارای مدارک مختلف از Splunk و AWS و Fortinet و Huawei حوزه اصلی فعالیت بنده در زمینه شبکه مباحث R&S و Service Provider می‌باشد و در زمینه امنیت نیز در موقعیت های مختلفی مانند PenTest و SoC فعالیت داشته و دارم. سابقه همکاری با بعضی سازمان های در قالب پروژه و... را داشته ام الان به عنوان تحلیلگر امنیت سایبری در زیرساخت بانک ملی مشغول به کار هستم. لینکداین: https://www.linkedin.com/in/amirhoseintangsirinezhad/

نظرات