جلوگیری از ip spoofing در میکروتیک
IP Spoofing به معنای ساخت IP Packet بدست هرکسی به غیر از آدرس های اصلی مبداء (IP source addresses) است.
این روش با دلایل روشنی مورد استفاده قرار میگیرد و چندین نوع حمله که در ادامه مورد بحث قرار خواهد گرفت ، با استفاده از این روش انجام میشوند. با بررسی HEADER IP، میتوانیم ببینیم که 12 bit اول شامل اطلاعات مختلفی درباره packet است. 8 bit بعدی شامل آدرس های مبداء و مقصد است. هکر با استفاده از یکی از چندین ابزار موجود در این زمینه ، میتوانند براحتی این ادرس ها را ویرایش کند ( بخصوص فیلد آدرس مبداء ). تصور غلطی که در این باره وجود دارد اینست که IP Spoofing میتواند آدرس Ip ما را به هنگام وبگردی ، چت انلاین ، ارسال ایمیل و … مخفی نگه دارد. این موضوع بصورت کلی درست نیست . جعل آدرس IP مبداء باعث میشود که پاسخی که به درخواست های ارسال از این مبداء جعلی از طرف مقصد ارسال می شود، گمراه کننده باشد ، به این معنی که شما نمیتوانید یک ارتباط نرمال را ایجاد کنید .
روش مقابله
در میکروتیک میتوانید به راحتی با استفاده از RFC3704 از اصالت پکت های دریافت شده اطمینان حاصل کنید.
به این صورت که در یکی از کلاینت های شما IP Spoofing انجام دهد و با آن حمله ای را انجام دهد میکروتیک Source IP ها را با Forwarding Information Base (FIB) بررسی می کند و درصورتی برای Source IP مشخص شده در هدر پکت مسیر برعکس (RP = Reverse path) وجود نداشته باشد آن پکت به صورت Invalid شناسایی شده و توسط فایروال دراپ میشود . به طور مثال Source IP مشخص شده در هدر پکت به هیچ کدام از اینترفیس های روتر تعلق نداشته باشید و یا مربوط به اینترفیسی که packet برروی آن دریافت شده است نباشد ویا هیچ آدرس ARP برای آن IP وجود نداشته باشد ویا macc addresseمتناظر با IP با مک آدرس مشخص شده در ARP Table متفاوت باشد. (man in the middle ) تمام این موارد مثالی برای عدم وجود مسیر برعکس یا مسیر بازگشت میباشد.
برای اینکار کافیست به قسمت IP Setting بروید و RP Filter را برروی Strict یا Loose قرار دهید.
/ip settings set rp-filter=strict
و سپس در فایروال یک رول برای دارپ کردن Invalid Packet ها ایجاد کنید.
/ip firewall filter add action=drop chain=forward comment="drop invalid" connection-state=invalid
نویسنده مقاله : میکروتیک فا
منبع مقاله :
- 03 آذر 1398
- ادمین سایت
- 1929