현재 ISP 업체에서 일하고 있는데 다른 transit 이나 IXP 쪽으로 cymru 이랑 peering 이 되어있고 uRPF 설정이 되어있습니다.
다른 부분은 이해가 가는데 uRPF 에서 왜 allow default 옵션을 사용하는지 이해가 가지 않습니다. source ip 가 라우팅 테이블에 없어도 디폴트 라우트가 있으면 drop 하지 않는건데, 없어도 보안적인 측면에서 차이가 없는거 같아서요.
오히려 없는게 맞는거 같습니다....현재 백본망에 border router 가 두개 있고, 둘 간에 서로 default route 설정이 되어있습니다. 서로 다른 transit 이랑 연결되어 있기 때문에 라우팅 테이블이 똑같지 않아서 모르는 대역이 들어올 수도 있어서요
3가지 예를 들어 보자면,
1. Cymru 에서 전파한 아이피 영역을 source 로 달고 트래픽이 백본으로 들어올때.
1.1 : Cymru 에서 받는 아이피 대역은 PBR 를 써서 null 0 로 넥스트 홉이 변경되어 있습니다.
1.2 : 트래픽이 들어오면 라우팅 테이블 look up
1.3 : uRPF 입장에서 라우팅 테이블에 있지만 null 0 는 real interface 가 아니니 패킷 드랍(uRPF 기능임, 실제 인터페이스나 루프백, 터널이 목적지로 되어있을때만 패킷 통과시킴)
2. Cymru 에서 전파받은 못한 공인 아이피 대역을 source 로 달고 들어올때
2.1 : allow default 옵션이 없으면 처음 받는 border router 에서 드롭시킴
3. Cymru 에서 전파받은 못한 공인 아이피 대역을 source 로 달고 들어올때(allow default 옵션이 있을때)
3.1 : allow default 옵션때문에 패킷을 드랍시키지 않고 백본 망으로 트래픽이 들어옴.
3.2 : 나가는 트래픽이야 border router 가 목적지를 모르니 drop 시키겠지만, 일반 백본망까지 트래픽이 들어오니
보안적으로 allow default 옵션이 없을때보다 더 취약함
제가 생각한건 여기까지 인데, ISP 입장에서 왜 allow default 옵션이 필요한 걸까요? 시스코 문서를 봐도 이 부분은 나와있지를 않네요. 혹시 몰라서 문서 링크걸겠습니다.
chrome-extension://efaidnbmnnnibpcajpcglclefindmkaj/viewer.html?pdfurl=https%3A%2F%2Fwww.cisco.com%2Fc%2Fdam%2Fen_us%2Fabout%2Fsecurity%2Fintelligence%2Furpf.pdf&clen=817985&chunk=true