Přesměrování zpětné dráhy - Reverse-path forwarding

Předávání zpětné dráhy (RPF) je technika používaná v moderní směrovače za účelem zajištění předávání smyčky bez smyčky vícesměrové vysílání balíčky v směrování vícesměrového vysílání a pomoci předcházet Spoofing IP adresy v unicast směrování.

Ve standardním směrování jednosměrového vysílání IP směrovač přeposílá paket pryč od zdroje, aby dosáhl pokroku podél distribučního stromu a zabránil směrování smyček. Naproti tomu stav předávání vícesměrového vysílání směrovače běží logičtěji uspořádáním tabulek založených na reverzní cestě, od přijímače zpět ke kořenu distribučního stromu u zdroje vícesměrového vysílání. Tento přístup je znám jako předávání zpětné cesty.

Multicast RPF

Vícesměrové vysílání RPF, obvykle označované jednoduše jako RPF, se používá ve spojení s protokolem směrování vícesměrového vysílání, jako je Multicast Source Discovery Protocol nebo Multicast nezávislý na protokolu aby bylo zajištěno předávání paketů vícesměrového vysílání bez smyčky. Ve směrování vícesměrového vysílání je rozhodnutí o předávání provozu založeno na zdrojové adrese a nikoli na cílové adrese jako při směrování jednosměrového vysílání. Dělá to využitím buď vyhrazené směrovací tabulky vícesměrového vysílání, nebo alternativně směrovací tabulky unicast směrovače.

Když paket vícesměrového vysílání vstoupí do rozhraní směrovače, vyhledá směrovač seznam sítí, které jsou prostřednictvím tohoto rozhraní dosažitelné (tj. Zkontroluje cesty, kterými paket mohl přijít). Pokud směrovač najde odpovídající směrovací záznam pro zdrojovou adresu IP paketu vícesměrového vysílání, projde kontrola RPF a paket je předán všem ostatním rozhraním, která se účastní dané skupiny vícesměrového vysílání. Pokud kontrola RPF selže, paket je zahozen. Výsledkem je, že o předávání paketu se rozhoduje spíše na základě obrácené cesty paketu než na dopředné cestě. Pouze předáváním paketů, které přicházejí do rozhraní, které také obsahuje směrovací záznam pro zdroj paketu, se zabrání smyčkám.

To je kriticky důležité v redundantních vícesměrových topologiích. Protože stejný paket vícesměrového vysílání by mohl dosáhnout stejného směrovače prostřednictvím více rozhraní, je kontrola RPF nedílnou součástí rozhodnutí předat pakety nebo ne. Pokud směrovač předal všechny pakety přicházející z rozhraní A na rozhraní B a také předal všechny pakety přicházející z rozhraní B na rozhraní A a obě rozhraní obdrží stejný paket, vytvoří se směrovací smyčka kde budou pakety přesměrovány v obou směrech až do jejich IP TTL vyprší. Směrovacím smyčkám je nejlépe se vyhnout, protože zbytečně spotřebovávají síťové prostředky.

Základní předpoklady kontroly RPF jsou, že

  1. směrovací tabulka unicast je správná a stabilní a,
  2. cesta použitá od odesílatele k routeru a zpětná cesta od routeru zpět k odesílateli jsou symetrické.

Pokud je první předpoklad nepravdivý, kontrola RPF se nezdaří, protože záleží na záložní směrovací tabulce směrovače unicast. Pokud je druhý předpoklad nepravdivý, kontrola RPF by odmítla provoz vícesměrového vysílání na všech, kromě nejkratší cesty od odesílatele k routeru, což by vedlo k neoptimálnímu stromu vícesměrového vysílání. V případech, kdy jsou odkazy jednosměrné, může přístup obrácené cesty úplně selhat.

Unicast RPF

Unicast RPF (uRPF), jak je definováno v RFC 3704, je evolucí konceptu, že provoz ze známých neplatných sítí by neměl být přijímán na rozhraních, ze kterých nikdy neměly pocházet. Původní myšlenka, jak je vidět na RFC 2827 bylo blokovat provoz na rozhraní, pokud pochází ze zfalšovaných IP adres. Je rozumným předpokladem, že mnoho organizací jednoduše zakáže šíření soukromých adres ve svých sítích, pokud se výslovně nepoužívají. To je velká výhoda pro páteř internetu, protože blokování paketů ze zjevně falešných zdrojových adres pomáhá snížit spoofing IP adres, který se běžně používá v DoS, DDoS a síťové skenování, aby zamaskovalo zdroj skenování.

uRPF rozšiřuje tuto myšlenku využitím znalostí, které musí mít všechny směrovače směrovací informační základna (RIB) nebo předávací informační základna (FIB) dělat svou primární práci, aby pomohla dále omezit možné zdrojové adresy, které by se měly zobrazit na rozhraní. Pakety jsou předávány pouze tehdy, pokud pocházejí z nejlepší trasy routeru ke zdroji paketu. Pakety přicházející do rozhraní pocházejí z platných podsítí, jak je označeno odpovídající položkou ve směrovací tabulce, jsou předávány. Pakety se zdrojovými adresami, které by mohly ne lze dosáhnout prostřednictvím vstupního rozhraní, lze zrušit bez narušení běžného používání, protože jsou pravděpodobně z nesprávně nakonfigurovaného nebo škodlivého zdroje.

V případech symetrického směrování, směrování, kdy pakety protékají oběma směry stejnou cestou, a terminálových sítí připojených prostřednictvím jediného spojení, je to bezpečný předpoklad a uRPF lze implementovat bez mnoha očekávaných problémů. Použití uRPF co nejblíže ke skutečnému zdroji provozu také zastaví falešný provoz, než bude mít šanci použít šířku pásma nebo dosáhnout routeru, který není nakonfigurován pro RPF, a tedy nevhodně předáván.

Bohužel se na velké páteřní síti Internet často stává, že směrování je asymetrické a na směrovací tabulky nelze spoléhat, aby ukazovaly na nejlepší cestu, jak se zdroj dostat k routeru. Směrovací tabulky určují nejlepší cestu vpřed a pouze v symetrickém případě se to rovná nejlepší cestě vzad. Při implementaci uRPF je důležité si uvědomit potenciál asymetrie, aby se zabránilo náhodnému filtrování legitimního provozu.

RFC 3704 poskytuje více podrobností o tom, jak rozšířit přísné předávání zpětné cesty tak, aby zahrnovalo některé uvolněnější případy, které mohou být stále přínosné a zároveň umožňují alespoň určitou asymetrii.

Přísný režim

V přísném režimu je každý příchozí paket testován proti FIB a, pokud přicházející rozhraní není nejlepší zpětná cesta, kontrola paketu selže. Ve výchozím nastavení jsou vadné pakety zahozeny.[A]

Proveditelný režim

V proveditelném režimu FIB udržuje alternativní cesty k dané IP adrese. Pokud přicházející Rozhraní se shoduje s jakoukoli cestou spojenou s IP adresou, pak je paket předán. Jinak je paket zahozen.

Volný režim

Ve volném režimu je každá zdrojová adresa příchozího paketu testována proti FIB. Paket je zrušen, pouze pokud není zdrojová adresa dosažitelná prostřednictvím žádný rozhraní na tomto routeru.[A]

Filtrování vs. přesměrování

RPF se často interpretuje jako obrácená cesta filtrování, zvláště pokud jde o směrování unicast. Toto je pochopitelná alternativní interpretace zkratky v tom, že když se používá RPF s směrováním jednosměrového vysílání jako v RFC 3704, provoz je buď povolen, nebo odepřen na základě kontroly nebo neúspěchu kontroly RPF. Myšlenka je, že provoz je odepřen, pokud selže při kontrole RPF, a je proto filtrován. Zatímco uRPF se používá jako vstup filtrování mechanismus, je ovlivněn obrácenou cestou spedice.

Srovnání s filtrováním zpětné cesty

Filtry reverzní cesty se obvykle používají k zakázání asymetrického směrování, kde má aplikace IP jinou příchozí a odchozí směrovací cestu. Filtrování reverzní cesty je funkce jádra systému Linux. Hlavní funkcí je tedy zabránit vstupu paketů z jednoho rozhraní odcházet přes ostatní rozhraní. Filtrování reverzní cesty je funkce Linuxové jádro,[1] ale předávání zpětné cesty je protokol IP vícesměrové vysílání směrování.[1][2]

Viz také

Poznámky

  1. ^ A b Příklad příkazu na zařízeních Cisco: ip ověřit zdroj unicast dosažitelný prostřednictvím {rx} - přísný režim, {libovolný} - volný režim

Reference

  1. ^ A b profesionální Linux - 1. května 2018:rp_filter a LPIC-3 Zabezpečení Linuxu | profesionální vývoj softwaru pro Linux
  2. ^ Bezpečnostní výzkum a provoz CISCO - 3. června 2015:Porozumění přesměrování zpětné cesty Unicast | Cisco -unicast-reverzní-cesta-předávání

externí odkazy