nic_2009_06-vul-con-ptt

76 visualizações

Publicada em

0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
76
No SlideShare
0
A partir de incorporações
0
Número de incorporações
3
Ações
Compartilhamentos
0
Downloads
0
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

nic_2009_06-vul-con-ptt

  1. 1.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   1 Análise de Vulnerabilidades de Redes em Conexões com PTT 27ª Reunião GTER Eduardo Ascenço Reis <eascenco@nic.br> <eduardo@intron.com.br> 2009­06­19
  2. 2.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   2 Agenda ● Resumo ● Informações Preliminares ● Modelo Tradicional de Conexão a PTT ● Novo Modelo de Conexão a PTT –  Links Família Ethernet ●  Vantagens ●  Alguns Efeitos Negativos ● Análise Links Ethernet para PTT ●  Problemas L2 ●  Problemas L3
  3. 3.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   3 Com a proliferação da adoção de redes Metro Ethernet para prover conexões L2 entre Sistemas Autônomos (AS) e Pontos de Troca de Tráfego (PTT), muitos benefícios foram obtidos, tais como: simplificação da conexão, tecnologia familiar e uniforme (família Ethernet), menor custo, menor número de pontos de falha, maior flexibilidade, etc. Por outro lado, a  utilização dessas conexões pode expor o AS a pontos de vulnerabilidades nas áreas de segurança e de redes. Esta apresentação pretende focar a discussão em algumas potenciais vulnerabilidades de redes e em sugestões de como um AS pode se proteger, com o objetivo de manter uma rede mais controlada, segura e estável. Os pontos chaves que serão endereçados nesta apresentação são: vulnerabilidades de roteamento em engenharia de tráfego externo e proteções na estrutura Ethernet (L2), ambas considerando como referência o AS participante de PTTs. Resumo
  4. 4.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   4 Esta apresentação é uma continuação da palestra abaixo: Reunião LACNIC XII http://lacnic.net/pt/eventos/lacnicxii/ Fórum de Interconexão Regional NAPLA 2009 http://lacnic.net/pt/eventos/lacnicxii/napla2009.html Algumas Considerações sobre Modelos de Conexão dos Participantes de IXP http://lacnic.net/documentos/lacnicxii/presentaciones/napla/06_Eduardo_Ascenco_Reis.pdf Apontamento
  5. 5.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   5 IXP ­ Internet eXchange Point PTT – Ponto de Troca de Tráfego Informação ­ IXP / PTT
  6. 6.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   6 O foco desta apresentação é no participante do PTT, e não no PTT em si. Ponto de Referência
  7. 7.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   7 PTT – Matriz de Comutação (switching fabric / peering fabric) Tradicionalmente baseada em equipamentos da família Ethernet (switches) O modelo de um PTT pode ser simplificado como um único switch LAN. Informações Preliminares – PTT
  8. 8.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   8 IXP Switch Router Router RouterRouter AS A AS C AS BAS D Informações Preliminares – PTT –  Modelo LAN Switch
  9. 9.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   9 IXP Switch Router Router RouterRouter AS A AS C AS BAS D Switch Switch SwitchSwitch Caso PTT MAN e.g. PTTmetro (http://ptt.br) Informações Preliminares – PTT –  Modelo Rede Metro Ethernet
  10. 10.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   10 Os Sistemas Autônomos (Autonomous System­ AS) normalmente utilizam redes internas baseadas em equipamentos da família Ethernet (switches). As redes internas de um AS podem ser simplificadas como uma rede local (LAN). Informações Preliminares – AS
  11. 11.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   11 IXP AS D area Router Switch RouterAS D Peering Fabric TDM (PDH/SDH) or ATM Links PTT – Modelo Tradicional de Conexão
  12. 12.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   12 IXP AS D area Router Switch RouterAS D Peering Fabric TDM (PDH/SDH) or ATM Links WAN LAN Technologies Converter PTT – Modelo Tradicional de Conexão
  13. 13.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   13 IXP AS D area Router Switch RouterAS D Peering Fabric TDM (PDH/SDH) or ATM Links L2 Domain L3 Element L2 Domain L3 Element PTT – Modelo Tradicional de Conexão
  14. 14.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   14 IXP AS D area Router Switch RouterAS D Peering Fabric TDM (PDH/SDH) or ATM Links Full BGP Table Partial BGP Table Local Prefixes Feed Router IXP Prefixes Feed PTT – Modelo Tradicional de Conexão
  15. 15.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   15 Links da família Ethernet (Gigabit Ethernet e 10 Gibabit Ethernet) tornaram­se uma tecnologia comum para uso externo em Redes Metropolitanas (MAN), além de também serem utilizados em conexões de longa distância (WAN). PTT – Modelo Novo de Conexão – Links Família Ethernet
  16. 16.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   16 IXP AS D area Router Switch Peering Fabric Ethernet Links RouterAS D Ethernet Family Ethernet Family Ethernet Family PTT – Modelo Novo de Conexão – Links Família Ethernet ­ Vantagens
  17. 17.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   17 IXP AS D area Router Switch Peering Fabric Ethernet Links RouterAS D Ethernet Family Ethernet Family Ethernet Family Tecnologia Uniforme ✔ Simplificação ✔ Menor Custo Operacional PTT – Modelo Novo de Conexão – Links Família Ethernet ­ Vantagens
  18. 18.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   18 IXP AS D area Router Switch Peering Fabric Ethernet Links RouterAS D Não há mais necessidade de roteador remoto e eventualmente de espaço de Data Center no local do PTT. ✔ Menor Custo ✔ Menos Equipamentos Envolvidos (menor número de pontos de falha, simplificação de gerenciamento e suporte) PTT – Modelo Novo de Conexão – Links Família Ethernet ­ Vantagens
  19. 19.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   19 IXP SwitchRouterAS D Peering Fabric Ethernet Links ✔ Menor Custo ✔ Otimização de Equipamentos Router Switch 802.1Q IXP IXP Router Compartilhamento da interface do roteador Interfaces de roteadores são normalmente mais caras do que interfaces equivalentes de switches Vlan C Vlan B Vlan A PTT – Modelo Novo de Conexão – Links Família Ethernet ­ Vantagens
  20. 20.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   20 Ao menos dois possíveis grupos de problemas podem ser observados ✗ Perda de isolamento lógico simples entre domínios L2 ✗ Perda de isolamento das tabelas BGP (PTT e Global) dentro do AS PTT – Modelo Novo de Conexão – Links Família Ethernet – Efeitos Negativos
  21. 21.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   21 IXP SwitchRouter AS D Peering Fabric PTT – Links Ethernet – Problemas na Camada de Enlace (L2) Ethernet Links 802.1Q Switch L2 Domain L3 Element L2 Domain L2 Domain ✗ Perda de isolamento lógico simples entre domínios L2
  22. 22.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   22 As redes Ethernet não foram originariamente concebidas para prevenir problemas Decorrentes da interconexão entre redes L2 sob administrações diferentes. Recursos especiais podem ser necessários para conferir proteções e atualmente algumas soluções podem depender de funcionalidades proprietárias. PTT – Links Ethernet – Problemas na Camada de Enlace (L2)
  23. 23.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   23 As VLANs conferem isolamento lógico em redes Ethernet IXP Switch Peering Fabric Router AS D Switch ISP/NSP Switch IP MPLS Switch VLAN A VLAN B VLAN C VLAN D PTT – Links Ethernet – Problemas na Camada de Enlace (L2)
  24. 24.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   24 VLANs independentes e conectadas podem ter a mesma identificação (ID) IXP Switch Peering Fabric Router AS D Switch ISP/NSP Switch IP MPLS Switch VLAN A VLAN B VLAN C VLAN D VLAN ID 10 VLAN ID 10 VLAN ID 10 VLAN ID 10 Conexões tipo trunk (802.1Q) entre diferentes domínios L2 podem exigir cuidados especiais. PTT – Links Ethernet – Problemas na Camada de Enlace (L2)
  25. 25.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   25 Isolamento Lógico Ethernet no ISP/NSP ­ 802.1ad (QinQ) IXP Switch Router AS C Peering Fabric 802.1Q Switch Router AS D 802.1Q Switch ISP/NSP Switch Switch Switch IP MPLS VLAN W1 Metro Tag VLAN W2 Metro Tag PTT – Links Ethernet – Problemas na Camada de Enlace (L2)
  26. 26.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   26 IXP Switch Router AS C Peering Fabric Router AS D 802.1Q Switch VLAN X AS utiliza VLAN interna dedicada para conexão do seu roteador ao link com PTT AS com roteador conectado diretamente ao link com o PTT PTT – Links Ethernet – Problemas na Camada de Enlace (L2)
  27. 27.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   27 ➢ Definição explícita do modo de operação de trunk (802.1Q) na interconexão de domínios L2 (evitar a utilização de configuração automática ou dinâmica) ➢ Definição explícita das condições de controle de links agregados (LACP ­ 802.3ad) ➢ Utilização de filtros de entrada e saída para bloquear certos tipos de quadros Ethernet ●  Protocolos de descoberta de vizinhança (e.g. CDP, EDP, etc) ●  Protocolos de redundância L2 (e.g. STP, EAPS, REP, etc) ●  Broadcast diferentes de ARP Algumas Sugestões de Pontos de Proteções Ethernet PTT – Links Ethernet – Problemas na Camada de Enlace (L2)
  28. 28.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   28 AS permite apenas determinados tipos de quadros, com Ethertypes específicos, na conexão com links para PTT: ●   0x0800 ­ IPv4 ●   0x0806 ­ ARP ●   0x86dd ­ IPv6 Operação Restritiva para Permissão de Quadros Ethernet  PTT – Links Ethernet – Problemas na Camada de Enlace (L2)
  29. 29.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   29 Proteções Ethernet – Exemplos Switches Extreme Networks Filtro de quadros STP configure stpd <stpd_name> ports edge­safeguard enable <port_list> Controle de broadcast por porta configure ports <port_list> rate­limit flood [broadcast | multicast | unknown­destmac] [no­limit | <pps>] Exemplos de scripts de configuração e implementações reais. http://www.extremenetworks.com/solutions/widget­central/?refID=3
  30. 30.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   30 Proteções Ethernet – Exemplos Switches Extreme Networks ACL para filtrar quadros ethernet por ethertypes: entry entry1 { if { ethernet­type <number> ­­> coloca o ethertype desejado } then { deny; count contador;  ­­> coloca a ação desejada permit/deny ou algum action }               modifier. } Exemplos de ethertype são: ETHER­P­IP (0x0800), ETHER­P­8021Q (0x8100), ETHER­P­IPV6 (0x86DD), ARP (0x806)
  31. 31.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   31 Proteções Ethernet – Exemplos Switches Cisco ! interface aa/x/y switchport trunk encapsulation dot1q switchport mode trunk switchport nonegotiate ! http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SX/ configuration/guide/layer2.html ! Interface aa/x/y Switchport port­security Switchport port­security violation protect Switchport port­security maximum z vlan w Switchport port­security mac­address dddd.dddd.dddd vlan w ! http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SX/ configuration/guide/port_sec.html
  32. 32.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   32 Proteções Ethernet – Exemplos Switches Cisco ! Port ACLs (PACLs): ! Mac access­list extended BLOCK­L2­FRAMES Deny any 0180.c200.0000 0000.0011.1111 Permit any any 0x0800 Permit any any 0x0806 Permit any any 0x86dd ! Interface aa/x/y Mac Access­group BLOCK­L2­FRAMES in ! http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SX/ configuration/guide/vacl.html
  33. 33.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   33 Proteções Ethernet – Exemplos Switches Foundry  Habilitar BPDU Guard NetIron(config) interface ethe 2/1 NetIron(config­if­e1000­2/1)# spanning­tree protect Habilitar Root Guard NetIron(config)# interface ethernet 5/5 NetIron(config­if­e10000­5/5) spanning­tree root­protect
  34. 34.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   34 Proteções Ethernet – Exemplos Switches Foundry  Exemplo de Configuração de Layer 2 ACL com filtros de Ethertype NetIron(config)# access­list 400 permit any any any etype ipv4 NetIron(config)# access­list 400 permit any any any etype arp NetIron(config)# access­list 400 permit any any any etype ipv6 NetIron(config)# access­list 400 deny any any 100
  35. 35.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   35 Proteções Ethernet – Exemplos Switches Juniper Port Security Overview http://www.juniper.net/techpubs/en_US/junos9.5/information­products/ pathway­pages/ex­series/port­security.html 802.1X Overview http://www.juniper.net/techpubs/en_US/junos9.5/information­products/ pathway­pages/ex­series/access­control.html Rate Limiting Overview http://www.juniper.net/techpubs/en_US/junos9.5/information­products/ pathway­pages/ex­series/device­security.html
  36. 36.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   36 IXP SwitchRouter AS D Peering Fabric Ethernet Links 802.1Q Switch ✗ Perda de isolamento das tabelas BGP (PTT e Global) dentro do AS IXP Prefixes Feed Peering Fabric Full BGP Table Local Prefixes Feed ASes PTT – Links Ethernet – Problemas na Camada de Rede (L3)
  37. 37.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   37 IXP Switch Router Router Router AS A AS C AS D Situação 1 ➢ AS A gostaria, mas NÃO possui acordo de troca de tráfego com AS D pelo PTT PTT – Links Ethernet – Problemas na Camada de Rede (L3) Situação 2 ➢ AS D e AS C possuem acordo de troca de tráfego pelo PTT
  38. 38.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   38 IXP Switch Router Router Router AS A AS C AS D Troca de Tráfego Válida Sessão BGP Estabelecida Troca de Tráfego NÃO Válida Não há Sessão BGP PTT – Links Ethernet – Problemas na Camada de Rede (L3)
  39. 39.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   39 IXP Switch Router Router AS A AS D Router AS N AS D CIDR D1 CIDR D2 AS A CIDR A1 Tráfego normal entre AS A e AS D utiliza caminho por um ou mais provedores de trãnsito (AS N) ­ Internet PTT – Links Ethernet – Problemas na Camada de Rede (L3)
  40. 40.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   40 IXP Switch Router Router AS A AS D Router AS N AS D CIDR D1 CIDR D2 Rota estática de CIDR D1 para IP D Rota estática de CIDR D2 para IP D IP D PTT – Links Ethernet – Problemas na Camada de Rede (L3)
  41. 41.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   41 IXP Switch Router Router AS A AS D Router AS N AS D CIDR D1 CIDR D2 IP D Condição de Abuso PTT – Links Ethernet – Problemas na Camada de Rede (L3)
  42. 42.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   42 IXP Switch Router Router AS A AS D Router AS T Internet PTT – Links Ethernet – Problemas na Camada de Rede (L3)
  43. 43.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   43 IXP Switch Router Router AS A AS D Router AS T Internet Rota estática padrão para IP D IP D PTT – Links Ethernet – Problemas na Camada de Rede (L3)
  44. 44.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   44 IXP Switch Router Router AS A AS D Router AS T IP D Internet PTT – Links Ethernet – Problemas na Camada de Rede (L3) Condição de Abuso
  45. 45.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   45 IXP SwitchRouter AS D Peering Fabric Ethernet Links Peering Fabric ASesRouter iBGP IXP DedicatedCore/Edge PTT – Links Ethernet – Problemas na Camada de Rede (L3) Exemplo de Solução
  46. 46.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   46 IXP Switch Router Core AS D Peering Fabric Ethernet Links Peering Fabric ASesRouter for IXP iBGP IXP Prefixes Feed Local Prefixes FeedLocal Prefixes Feed IXP Prefixes Feed PTT – Links Ethernet – Problemas na Camada de Rede (L3) Exemplo de Solução
  47. 47.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   47 IXP Switch Router Core AS D Peering Fabric Ethernet Links Peering Fabric ASesRouter for IXP iBGP IXP Prefixes Feed Local Prefixes FeedLocal Prefixes Feed IXP Prefixes Feed Full BGP Table Partial BGP Table and no default route PTT – Links Ethernet – Problemas na Camada de Rede (L3) Exemplo de Solução
  48. 48.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   48 IXP Switch Router AS A AS D Router AS T Internet Rota estática padrão para IP D Router Core Router for IXP IP D PTT – Links Ethernet – Problemas na Camada de Rede (L3) Exemplo de Solução
  49. 49.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   49 IXP Switch Router AS A AS D Router AS T Internet Router Core Router for IXP IP D X Unreachable Destinations AS A Rota estática padrão para IP D PTT – Links Ethernet – Problemas na Camada de Rede (L3) Exemplo de Solução
  50. 50.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   50 IXP Switch Router AS A AS D Router AS T Internet Router Core Router for IXP IP D Rota estática de CIDR D1 para IP D Rota estática de CIDR D2 para IP D AS D CIDR D1 CIDR D2 PTT – Links Ethernet – Problemas na Camada de Rede (L3) Exemplo de Solução
  51. 51.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   51 IXP Switch Router AS A AS D Router AS T Internet Router Core Router for IXP IP D Rota estática de CIDR D1 para IP D Rota estática de CIDR D2 para IP D AS D CIDR D1 CIDR D2 ? Condição de Abuso PTT – Links Ethernet – Problemas na Camada de Rede (L3) Exemplo de Solução
  52. 52.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   52 Unicast Reverse Path Forwarding (uRPF) IXP Switch Router Core AS D Peering Fabric Ethernet Links Peering Fabric ASesRouter for IXP iBGP Full BGP Table Partial BGP Table and no default route PTT – Links Ethernet – Problemas na Camada de Rede (L3) Exemplo de Solução
  53. 53.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   53 IXP Switch Router AS A AS D Router AS T Internet Router Core Router for IXP IP D Rota estática de CIDR D1 para IP D Rota estática de CIDR D2 para IP D AS D CIDR D1 CIDR D2 X Unreachable Destinations + uRPF PTT – Links Ethernet – Problemas na Camada de Rede (L3) Exemplo de Solução
  54. 54.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   54 uRPF ­ Referência Unicast Reverse Path Forwarding RFC3704 ­ Ingress Filtering for Multihomed Networks BCP: 84 http://www.ietf.org/rfc/rfc3704.txt RFC2827 ­ Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing BCP: 38 http://www.ietf.org/rfc/rfc2827.txt
  55. 55.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   55 uRPF ­ Exemplo Cisco interface FastEthernet 0/0 ip verify unicast source reachable­via {rx | any} [allow­default] [allow­self­ping] [list] ipv6 verify unicast source reachable­via {rx | any} [allow­default] [allow­self­ping] [access­list­name] Understanding Unicast Reverse Path Forwarding http://www.cisco.com/web/about/security/intelligence/unicast­rpf.html Unicast RPF for IPv6 on the Cisco 12000 Series http://www.cisco.com/en/US/docs/ios/12_0s/feature/guide/urpf_gsr.html Service Provider Security Best Practices http://www.cisco.com/security/sp
  56. 56.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   56 uRPF ­ Exemplo Juniper You must enable unicast RPF check on an interface. To do so, include the rpf­check statement: rpf­check <fail­filter filter­name>; You can include this statement at the following hierarchy levels: [edit interfaces interface­name unit logical­unit­number family (inet | inet6)] [edit logical­systems logical­system­name interfaces interface­name unit logical­unit­number family (inet | inet6)] For more information about configuring unicast RPF on an interface, see the JUNOS Network Interfaces Configuration Guide.  Configuring Unicast Reverse­Path­Forwarding Check http://www.juniper.net/techpubs/software/junos/junos95/ swconfig­routing/id­10460803.html#id­10460803
  57. 57.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   57 uRPF ­ Exemplo BSD The uRPF check can be performed on packets by using the urpf­failed keyword in filter rules:     block in quick from urpf­failed label uRPF  Note that the uRPF check only makes sense in an environment where routing is symmetric.  OpenBSD ­ PF: Packet Filtering Unicast Reverse Path Forwarding http://www.openbsd.org/faq/pf/filter.html#urpf BSD PF IPv6 and IPv4 /etc/pf.conf Firewall Script http://bash.cyberciti.biz/firewall/ pf­ipv6­ipv4­firewall­for­freebsd­openbsd­netbsd/
  58. 58.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   58 uRPF ­ Exemplo Linux Reverse Path Filter (rp_filter) # sysctl ­w net.ipv4.conf.ifname.rp_filter=1 # echo 1 > /proc/sys/net/ipv4/conf/<ifname>/rp_filter [PATCH] RP filter support for IPv6, kernel 2.6.15 http://linux.derkeiler.com/pdf/Mailing­Lists/Kernel/2006­01/msg05334.pdf
  59. 59.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   59 Agradecimentos Alexandre Ribeiro ­ Foundry / Blackit Caio Klein – Juniper Networks Igor Giangrossi ­ Cisco Systems Leonardo Sambrana / Marcelo Pizzotti Maldi ­ Extreme Networks
  60. 60.     GTER27 / Análise de Vulnerabilidades de Redes em Conexões com PTT / Eduardo Ascenço Reis / 2009­06­19   60 Obrigado Eduardo Ascenço Reis <eascenco@nic.br> <eduardo@intron.com.br>

×