PT. Hawk Teknologi Solusi

Silahkan Cari Disini

Jumat, 25 April 2008

Prevent IP spoofing with the Cisco IOS

Seperti telah diketahui, Internet memiliki banyak ancaman keamanan, salah satunya adalah IP address spoofing. Umumnya pada saat spoofing IP address, penyerang secara sederhana memalsukan sumber / source paket-paket sebagai usaha untuk menampilkannya sebagai bagian dari network internal. Untuk itu berikut adalah tiga cara untuk melindunginya

Block IP addresses

Langkah pertama dalam menghindari spoofing adalah dengan memblok IP address yang berisiko. Biasanya spoofed IP addresses adalah private IP address(RFC 1918) dan lainnya adalah tipe IP addresses yang khusus seperti misalnya APIPA (Automatic Private IP Address)

Berikut adalah daftar IP addresses dan subnet masknya yang harus di blok pada saat masuk ke network dari Internet:

  • 10.0.0.0/8
  • 172.16.0.0/12
  • 192.168.0.0/16
  • 127.0.0.0/8
  • 224.0.0.0/3
  • 169.254.0.0/16

Semua IP addresses private diatas tidak dapat di routekan pada Internet, IP addresses private tidak mungkin datang dari Internet, kalau sampai terjadi maka pasti itu adalah traffic yang berbahaya.

Sebagai tambahan, spoofed IP addreses lainnya adalah IP addreses yang digunakan di Internal organisasi. Jika Anda menggunakan private IP addreses , rangenya sudah masuk pada list diatas. Tetapi, jika menggunakan IP addresses public sendiri, maka harus dimasukkan ke list tersebut. Maksudnya adalah tidak mungkin source IP berasal dari IP blok yang digunakan di internal organisasi masuk dari interface Internet ke dalam, yang normal adalah dari IP blok internal ke Internet bukan sebaliknya.


Implement ACLs

Cara termudah untuk menghindari spoofing adalah menggunakan ingress filter pada semua Internet traffic. Filter tersebut akan men-drop semua traffic dengan source yang masuk dalam daftar IP diatas. atau dengan kata lain buat access control list (ACL) untuk mend-drop semua traffic inbound dengan source IP dalam range diatas.

Berikut adalah contoh configurasinya

Router# conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# ip access-list ext ingress-antispoof
Router(config-ext-nacl)# deny ip 10.0.0.0 0.255.255.255 any
Router(config-ext-nacl)# deny ip 172.16.0.0 0.15.255.255 any
Router(config-ext-nacl)# deny ip 192.168.0.0 0.0.255.255 any
Router(config-ext-nacl)# deny ip 127.0.0.0 0.255.255.255 any
Router(config-ext-nacl)# deny ip 224.0.0.0 31.255.255.255 any
Router(config-ext-nacl)# deny ip 169.254.0.0 0.0.255.255 any
Router(config-ext-nacl)# permit ip any any
Router(config-ext-nacl)# exit

Router(config)#int s0/0
Router(config-if)#ip access-group ingress-antispoof in

Dalam contoh diatas interface s0/0 adalah interface yang terhubung langsung ke Internet.

Internet service providers (ISP) harus menggunakan filter seperti ini pada jaringannya, seperti yang didefinisikan dalam RFC 2267.

Use reverse path forwarding (ip verify)

Cara lainnya adalah menggunakan reverse path forwarding (RDF) atau ip verify. di Cisco IOS, perintah untuk reverse path forwarding diawali dengan ip verify.

RDF bekerja seperti solusi anti-spam. dimana bagian penerimaan email melakukan pengecekkan source e-mail address, dan melakukan recipient lookup pada server pengirim untuk memastikan pengirim memang benar exist pada server tersebut. Jika pengirim tidak exist, maka server penerima akan men-drop email tersebut dan ini biasanya adalah spam.

RDF melakukan hal yang sama pada penerimaan paket-paket. alamat sumber / source IP address paket yang diterima dari Internet di cek apakah router tersebut memiliki routing table untuk mereplay paket tersebut. Jika tidak ada route di routing table untuk merespon source IP tersebut, maka seseorang sepertinya melakukan spoofed pada paket tersebut. dan router akan mendrop paket tersebut.

Berikut adalah caranya mengkonfigure EPF pada router:
Router(config)# ip cef
Router(config)# int serial0/0
Router(config-if)# ip verify unicast reverse-path

Sayangnya hal ini tidak dapat bekerja pada jaringan multi-homed

Sumber:

http://articles.techrepublic.com.com/5100-1035-6166899-2.html

Tidak ada komentar: