Ngăn chặn các cuộc tấn công giả mạo IP với Cisco ASA bằng cách sử dụng RPF (Reverse Path Forwarding)

Thảo luận trong 'Firewall Cisco' bắt đầu bởi thuva123, 17/5/18.

Tags:
  1. thuva123

    thuva123 Member

    Một cuộc tấn công phổ biến thường thấy thấy trên mạng TCP / IP là giả mạo IP. Điều này thường được sử dụng để từ chối dịch vụ, ẩn danh tính hoặc thậm chí để vượt qua tường lửa hoặc các quy tắc bảo mật của Access-Lists (ACL).

    Các cuộc tấn công giả mạo thường hoạt động như sau:
    • Kẻ tấn công độc hại sẽ gửi các gói tin tới một máy chủ mục tiêu.
    • Kẻ tấn công tự ngụy trang bằng cách chèn một IP nguồn giả vào gói tin. Địa chỉ IP nguồn giả mạo này trong gói hoàn toàn không tồn tại hoặc nó có thể là địa chỉ IP hợp pháp của một số máy chủ khác nằm trên một số mạng khác.
    • Lưu lượng trả lời từ mục tiêu sẽ không bao giờ đến được với kẻ tấn công vì địa chỉ nguồn của kẻ tấn công là không có thật. Do đó, danh tính của kẻ tấn công vẫn chưa được xác định.
    • Điều này có thể gây cạn kiệt tài nguyên trên máy chủ đích vì nó sẽ tạo ra một số kết nối TCP “incomplete” trong bộ nhớ của nó.
    Tường lửa Cisco ASA có thể xác định một gói tin giả mạo bằng cách sử dụng Chuyển tiếp đường dẫn ngược- Reverse Path Forwarding (RPF). RPF có thể được bật trên cơ sở mỗi giao diện. Ngay sau khi RPF được kích hoạt trên một giao diện cụ thể, tường lửa ASA sẽ kiểm tra địa chỉ IP nguồn (ngoài địa chỉ đích) của mỗi gói tin đến giao diện này. Thông thường, bất kỳ thiết bị mạng Lớp 3 nào cũng chỉ kiểm tra địa chỉ đích của các gói để biết cách định tuyến gói. Bằng cách kiểm tra địa chỉ IP nguồn của gói tin, tường lửa có thể xác minh xem gói tin có bị giả mạo hay không. Tường lửa sẽ cố gắng tìm đường ngược lại (đường dẫn ngược về nguồn) trong bảng định tuyến của nó. Nếu một đường ngược lại không được tìm thấy trên giao diện nơi gói tin đến, điều đó có nghĩa là gói tin đó bị giả mạo và sẽ bị loại bỏ ngay lập tức.

    Hãy xem sơ đồ bên dưới để làm rõ khái niệm về Chuyển tiếp đường dẫn ngược (Reverse Path Forwarding):

    [​IMG]

    Từ sơ đồ trên, kẻ tấn công cố gắng giả mạo mạng bên trong 192.168.1.0 bằng cách sử dụng IP nguồn giả mạo trong gói tin (IP nguồn giả mạo 192.168.1.1). Nó gửi gói tới máy chủ đích của nó là 192.168.1.10 (địa chỉ đích trong gói).

    Trên ASA, ta định cấu hình RPF trên giao diện bên ngoài như sau:

    Ciscoasa(config)# ip verify reverse-path interface outside

    Cisco ASA Firewall sẽ kiểm tra địa chỉ nguồn của gói tin gửi đến (giả mạo) và sẽ thấy rằng IP nguồn 192.168.1.1 thuộc mạng nội bộ của nó. Một gói có IP nguồn như vậy sẽ không bao giờ đến từ giao diện bên ngoài. Do đó gói tin sẽ bị loại bỏ. ASA thực hiện kiểm tra RPF bằng cách sử dụng bảng định tuyến của nó. Bảng định tuyến cho thấy rằng mạng 192.168.1.0/24 hướng tới giao diện bên trong của ASA Cisco (giả sử rằng chúng ta đã cấu hình một tuyến tĩnh cho mạng nội bộ này).


    Chúc các bạn thành công!
     
    thuva123, 17/5/18
    #1

trang này