• If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.
Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Lab 14: Chống ip address spoofing bằng acls

Collapse
X
Collapse
 
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    Lab 14: Chống ip address spoofing bằng acls

    Mục tiêu


    Cấu hình để router hạn chế IP address spoofing

    Hình vẽ


    Mô tả
    • Tiến hành lọc IP address ở phía ngoài dựa theo các tiêu chuẩn đưa ra trong RFC 1918, RFC 3330
    • Lọc những ingress traffic, deny những IP address không hợp lệ dựa theo khuyến cáo trong RFC 2627.
    • Mạng bên trong được cho phép ra ngoài, tuy nhiên sẽ bị deny nếu traffic đến từ phía outside nhưng lại có địa chỉ source là mạng bên trong.
    • Lọc ICMP redirect messages và tắt tính năng IP source routing
    • Chú ý không block địa chỉ source 0.0.0.0/32 ở interface bên trong, bởi vì DHCP thường dùng địa chỉ này để gửi requests.
    • Cấu hình “Standard NAT”
    • Apply toàn bộ cấu hình trên Router 4
    • Tạo ACL OUTSIDE_IN
      • Lọc ICMP redirects và packets có source từ host 0.0.0.0
      • Lọc traffic theo khuyến cáo của RFC 1918
      • Lọc traffic theo khuyến cáo của RFC 3330
      • Deny các packets có sourced từ mạng bên trong 150.1.4.0/24 theo RFC2627
    • Tạo ACL INSIDE_IN
      • Lọc ICMP redirects
      • Cho phép UDP packets từ host 0.0.0.0/32 đến 10.0.0.4 (địa chỉ của R4) port BOOTPs
      • Cho phép mạng 10.0.0.0/24 ra ngoài theo khuyến cáo của RFC 2627
      • Block và log lại các traffic còn lại
    • Apply ACL INSIDE_IN lên interface fa0/1 của Router 4 theo chiều in
    • Apply ACL OUTSIDE_IN lên interface fa0/0 của Router 4 theo chiều in.

    Cấu hình tham khảo


    Bước 1: Cấu hình địa chỉ IP, định tuyến, static NAT

    Router 4

    !

    interface Loopback0

    ip address 150.1.4.4 255.255.255.0

    ip ospf network point-to-point

    !

    interface FastEthernet0/0

    ip address 155.1.45.4 255.255.255.0

    ip nat outside

    ip virtual-reassembly

    speed auto

    !

    interface FastEthernet0/1

    ip address 10.0.0.4 255.255.255.0

    ip nat inside

    ip virtual-reassembly

    speed auto

    !

    !

    router ospf 1

    log-adjacency-changes

    network 150.1.4.0 0.0.0.255 area 0

    network 155.1.45.0 0.0.0.255 area 0

    !

    ip classless

    !

    ip nat inside source static 10.0.0.1 interface Loopback0

    !

    Router 5

    !

    interface FastEthernet0/0

    ip address 155.1.45.5 255.255.255.0

    duplex auto

    speed auto

    !

    interface FastEthernet0/1

    ip address 150.1.5.5 255.255.255.0

    duplex auto

    speed auto

    no keepalive

    !

    router ospf 1

    log-adjacency-changes

    network 150.1.5.0 0.0.0.255 area 0

    network 155.1.45.0 0.0.0.255 area 0

    !

    Router 1

    !

    interface FastEthernet0/0

    ip address 10.0.0.1 255.255.255.0

    duplex auto

    speed auto

    !

    ip classless

    ip route 0.0.0.0 0.0.0.0 10.0.0.4

    !

    Bước 2: Tạo access-list INSIDE_IN và OUTSIDE_IN



    Router 4
    • Tắt tính năng IP source routing

    !

    no ip source-route

    !
    • Tạo access-list INSIDE_IN

    ip access-list extended INSIDE_IN

    deny icmp any any redirect

    permit ip 10.0.0.0 0.0.0.255 any

    permit udp host 0.0.0.0 host 10.0.0.4 eq bootps

    deny ip any any log
    • Tạo access-list OUTSIDE_IN

    ip access-list extended OUTSIDE_IN

    remark ==

    remark == attacker có thể dùng redirect để spoofing

    remark ==

    deny icmp any any redirect

    remark ==

    remark == RFC 1918

    remark ==

    deny ip 10.0.0.0 0.255.255.255 any

    deny ip 172.16.0.0 0.15.255.255 any

    deny ip 192.168.0.0 0.0.255.255 any

    remark ==

    remark == RFC 3330

    remark ==

    deny ip host 0.0.0.0 any

    deny ip 224.0.0.0 31.255.255.255 any

    deny ip 127.0.0.0 0.255.255.255 any

    deny ip 169.254.0.0 0.0.255.255 any

    deny ip 192.0.2.0 0.0.0.255 any

    remark ==

    remark == RFC 2627

    remark ==

    deny ip 150.1.4.0 0.0.0.255 any

    remark ==

    remark == End of List

    remark ==

    permit ip any any

    !

    !
    • Apply ACLs lên các interface của Router 4

    Router 4

    !

    interface FastEthernet0/0

    ip access-group OUTSIDE_IN in

    !

    interface FastEthernet0/1

    ip access-group INSIDE_IN in

    !



    Bước 3: Kiểm tra

    Router 4

    R4#show ip access-lists

    Extended IP access list INSIDE_IN

    10 deny icmp any any redirect

    20 permit ip 10.0.0.0 0.0.0.255 any

    30 permit udp host 0.0.0.0 host 10.0.0.4 eq bootps

    40 deny ip any any log

    Extended IP access list OUTSIDE_IN

    10 deny icmp any any redirect

    20 deny ip 10.0.0.0 0.255.255.255 any

    30 deny ip 172.16.0.0 0.15.255.255 any

    40 deny ip 192.168.0.0 0.0.255.255 any

    50 deny ip host 0.0.0.0 any

    60 deny ip 224.0.0.0 31.255.255.255 any

    70 deny ip 127.0.0.0 0.255.255.255 any

    80 deny ip 169.254.0.0 0.0.255.255 any

    900 deny ip 192.0.2.0 0.0.0.255 any

    100 deny ip 150.1.4.0 0.0.0.255 any

    110 permit ip any any

    R4#
    Email : vnpro@vnpro.org
    ---------------------------------------------------------------------------------------------------------------
Trung Tâm Tin Học VnPro
149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
Tel : (08) 35124257 (5 lines)
Fax: (08) 35124314

Home page: http://www.vnpro.vn
Support Forum: http://www.vnpro.org		 - Chuyên đào tạo quản trị mạng và hạ tầng Internet
- Phát hành sách chuyên môn
- Tư vấn và tuyển dụng nhân sự IT
- Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

Network channel: http://www.dancisco.com
Blog: http://www.vnpro.org/blog
Tags: #vnpro #lab #address #ip
Previous template Next
Working...
X