OpenBSD PF & uRPF kullanarak Spoofed paketlerle Mucadele

urpf.gif

OpenBSD 4.0 PF ile gelen onemli ozelliklerden biri de uRPF destegidir. URPF(Unicast Reverse Path Forwarding) kisaca gelen paketin kaynak ip adresinin yonlendirme tablosu ile karsilastirilmasi sonucu paketin uygun arabirimden gelip gelmediginin kontrol eder.

Gecmiste kullanilan cogu DOS, DDOS aracinin calisma prensipleri kaynak ip adreslerini random olarak degistirerek hedef sistemleri yormak oldugu icin urpf her guvenlik duvarinda bulunmasi gereken bir ozellik olarak karsimiza cikiyor.

Populer Guvenlik duvari yazilimlari Cisco Router/PIX/ASA, CheckPoint ve OpenBSD PF uzerinde benzer isimlerle bu is yapilabiliyor.

DOS saldirilarinin kaynaklarini genelde bakimsiz buyuk networkler(ozellikle universite aglari) olusturur. Bu tip aglarda Urpf ya da benzeri bir yontem kullanilarak filtreleme yapilmiyorsa her an bir DOS saldirisinda kullanilma olasiligi vardir.

OpenBSD PF ile uRPF nasil calisir?

URPF kullanilarak eger paket uygun arabirimden gelmiyorsa paketin spoofed olduguna karar verilir ve PF ile bu tip paketler yasaklanir. Anlasilir olmasi icin bir ornekleyelim.

Guvenlik duvarimizda iki ag arabirimi olsun. Biri ic aga bakan(fxp0) ve ip adresi 192.168.0.1, digeri de dis aga (Modem/router vs) baksin(xl0) ve ip adresi 172.16.10.2

#netstat -rn -f inet
Routing tables

Internet:
Destination Gateway Flags Refs Use Mtu Interface

default 172.16.10.1 UGS 2 20010970 – xl0
192.168.0/24 link#2 UC 1 0 – fxp0
172.16.10/24 link#1 UC 2 0 – xl0

Normal durumlarda fxp0 arabirimine sadece 192.168.0/24 networkune ait ip adresli makinelerden paket gelmesi gerekir. Bunun harici ip adreslerinden paket geliyorsa ya agin icerisinde baska bir ag kurulmus ya da birileri ip adreslerini spoof etmeye calisiyor demektir.

OpenBSD PF’e urpf kurali girerek istenen bacak uzerinde geriye dogru yonlendirme yapilamayacak ip adreslerinden gelen isteklerin bloklanmasi saglanabilir.

urpf icin OpenBSD PF kurali.

block in quick on $int_if from urpf-failed

Not-I: urfp kullanirken dikkatli olmak lazim, zira gunumuz aglari artik alt aglardan olusuyor . URPF kullanmadan once yonlendirme tablosu detaylica incelenip karar verilemli.

Not-II: URPF, PF’deki antispoof ile ayni isi yapar.

Detay bilgi icin Cisco‘nun konu ile ilgili yapilandirma sayfasi ziyaret edilebilir.

This entry was posted in Firewalls, OpenBSD. Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *

17 − ten =