Núcleo de Informação e Coordenação do Ponto BR

Portal de Boas Práticas para a Internet no Brasil

Navegação global

Conteúdo

Filtro antispoofing – exemplo para Cisco

É necessário que os provedores de acesso à Internet adotem medidas para evitar que seus usuários, intencionalmente ou não, enviem na rede pacotes com origens inválidas (diferentes dos endereços que lhe são atribuídos). Isso é chamado spoofing e muitas vezes é utilizado para ataques de negação de serviço. Apenas um filtro aplicado no próprio provedor de acesso, preferencialmente na interface do roteador conectada diretamente ao usuário, é eficaz contra isso.

filtro antispoofing

A configuração consiste basicamente em se habilitar o uRPF e em se criar um filtro secundário, baseado numa lista de bogons.

Filtro para IPv4

! CEF é preciso para  uRPF strict
ip cef
interface GigabitEthernet0/1
! Endereço da interface do roteador
! Troque esse endereço pelo que é usado em sua rede!
ip address 192.0.2.1 255.255.255.252
 ! Aplicando Filtro estatico baseado no endereço alocado para o cliente 
ip access-group FILTRO-BOGONS-V4 in
 !  habilitando Strict uRPF 
ip verify unicast source reachable-via rx

...

! Filtro de rede estático
ip access-list extended FILTRO-BOGONS-V4
deny ip 0.0.0.0 0.255.255.255 any
deny ip 10.0.0.0 0.255.255.255 any
deny ip 100.64.0.0 0.63.255.255 any
deny ip 127.0.0.0 0.255.255.255 any
deny ip 169.254.0.0 0.0.255.255 any
deny ip 172.16.0.0 0.15.255.255 any
deny ip 192.0.0.0 0.0.0.255 any
deny ip 192.0.2.0 0.0.0.255 any
deny ip 192.168.0.0 0.0.255.255 any
deny ip 198.18.0.0 0.1.255.255 any
deny ip 198.51.100.0 0.0.0.255 any
deny ip 203.0.113.0 0.0.0.255 any
deny ip 224.0.0.0 31.255.255.255 any
permit ip any any

Configuração para IPv6

! CEF é necessário para uRPF strict
ipv6 cef
interface GigabitEthernet0/1
! Endereço da interface do roteador
! Troque pelo endereço de sua rede
ipv6 address 2001:DB8:CAFE:FACA::1/64
 ! Aplicando Filtro estatico baseado no endereço alocado para o cliente 
ipv6 traffic-filter FILTRO-BOGONS-V6
 !  habilitando Strict uRPF 
ipv6 verify unicast source reachable-via rx

...

! bloqueia tudo e permite as faixas
! já liberadas para os RIRs
! Filtro de rede estático
ipv6 access-list extended FILTRO-BOGONS-V6
deny ipv6 2001:db8::/32 any
permit ipv6 2001:500::/30 any
permit ipv6 2001::/32 any
permit ipv6 2001::/16 any
permit ipv6 2001:0678::/29 any
permit ipv6 2001:0c00::/23 any
permit ipv6 2001:13c7:6000::/36 any
permit ipv6 2001:13c7:7000::/36 any
permit ipv6 2001:43f8::/29 any
permit ipv6 2002::/16 any
permit ipv6 2003::/16 any
permit ipv6 2400::/12 any
permit ipv6 2600::/12 any
permit ipv6 2610::/23 any
permit ipv6 2620::/23 any
permit ipv6 2800::/12 any
permit ipv6 2a00::/12 any
permit ipv6 2801:0000::/24 any
permit ipv6 2c00::/12 any
permit ipv6 fe80::/64 any
permit ipv6 ::/128 any
deny ipv6 ::/0 any

Endereços fixos

Perceba que a lógica da configuração é habilitar o uRPF e ter também um filtro extra, como redundância. Para isso serve a lista de bogons.

Quando o provedor trabalha com endereço fixo (global ou NAT), o filtro redundante pode ser bem mais específico, como no exemplo a seguir:

! IPv4
!
! CEF é preciso para  uRPF strict
ip cef
interface GigabitEthernet0/1
! Endereço da interface do roteador
! Precisa trocar
ip address 192.0.2.1 255.255.255.252
 ! Aplicando Filtro estatico baseado no endereço alocado para o cliente 
ip access-group REDE-CLIENTE-V4 in
 !  habilitando Strict uRPF 
ip verify unicast source reachable-via rx

...

! Filtro de rede estático
ip access-list extended REDE-CLIENTE-V4
! Permite o endereço IP alocado ao roteador do cliente CPE
! Precisa trocar
permit ip 192.0.2.2 0.0.0.0 any
! Caso o cliente possua um range de endereços alocados
! Precisa trocar
permit ip 198.51.100.0 0.0.0.255 any
! Proibe o resto
deny ip any any!

!IPv6
!
! CEF é preciso para  uRPF strict
ipv6 cef
interface GigabitEthernet0/1
! Endereço da interface do roteador
! Precisa trocar
ipv6 address 2001:DB8:CAFE:FACA::1/64
 ! Aplicando Filtro estatico baseado no endereço alocado para o cliente 
ipv6 traffic-filter REDE-CLIENTE-V6
 !  habilitando Strict uRPF 
ipv6 verify unicast source reachable-via rx

...

! Filtro de rede estático
ipv6 access-list extended REDE-CLIENTE-V6
! Permite o endereço IP alocado ao roteador do cliente CPE
! Precisa trocar
permit ipv6 2001:DB8:CAFE:FACA::2/128  any
! Permite o range de endereços alocado ao cliente
! Precisa trocar 
permit ipv6 2001:DB8:F0CA:CA00::/56 any
permit ipv6 fe80::/64 any
permit ipv6 ::/128 any
! Proibe o resto
deny ipv6 any any

Referências

http://www.ripe.net/ripe/docs/ripe-431
http://www.cisco.com/en/US/docs/ios/12_2/security/command/reference/srfrpf.html
http://www.team-cymru.org/Services/Bogons/bogon-dd.html
http://www.space.net/~gert/RIPE/ipv6-filters.html
http://wiki.mikrotik.com/wiki/MikroTik_RouterOS/Feature_Requests#Not_yet_implemented

Publicado por: EquipeBCP

A equipe do sítio http://bcp.nic.br é composta por profissionais de diversas áreas do NIC.br, que procuram destacar neste blog boas práticas que devem ser adotadas na Internet no Brasil.

4 responses to “Filtro antispoofing – exemplo para Cisco”

  1. Car says:

    Digg

    While checking out DIGG today I found this

  2. qploanz says:

    …Websites you should visit

    […]you make blogging glance[…]

  3. Informative and precise

    Its difficult to find informative and precise information but here I noted

  4. judge judy says:

    Its hard to find good help

    I am regularly saying that its hard to procure quality help, but here is

Leave a Reply