Em um esforço para evitar a falsificação de endereço de origem de IP (RFC 2827), ativei a filtragem de caminho inverso (RPF) no Cisco ASA 5505.
A topologia é aprox. como isso. Cada segmento tem sua própria sub-rede IPv4 e sub-rede IPv6.
guests
vlan 40 |
|
vlan 2 | vlan 10
outside --------- ASA -------- inside
|
|
vlan 30 |
dmz
Eu habilitei RPF assim:
ip verify reverse-path interface outside
ip verify reverse-path interface inside
ip verify reverse-path interface guests
ip verify reverse-path interface dmz
Na interface externa, estou vendo algumas coisas sendo bloqueadas pelo RPF como esperado, como:
Feb 20 2014 11:25:06: %ASA-1-106021: Deny ICMP reverse path check from <ip1> to <ip2> on interface outside
No entanto, em todas as outras interfaces, vejo dezenas de eventos IPv6-ICMP por minuto, como estes:
Feb 20 2014 11:27:21: %ASA-1-106021: Deny IPv6-ICMP reverse path check from :: to ff02::16 on interface guests
Feb 20 2014 11:27:21: %ASA-1-106021: Deny IPv6-ICMP reverse path check from :: to ff02::1:ff73:8762 on interface guests
Feb 20 2014 11:27:21: %ASA-1-106021: Deny IPv6-ICMP reverse path check from :: to ff02::1:ffed:4b2d on interface guests
Esses IPs parecem ser IPv6-multicast relacionados , de acordo com a Wikipedia. Não sou especialista em multicast.
Por que eles estão acionando a verificação do RPF e o que posso fazer com eles? Isto é um erro de configuração da minha parte ou não, posso de alguma forma parar o fluxo de alertas?
O endereço :: é o endereço não especificado. Não é usado frequentemente no fio, mas seu uso é permitido em determinados casos. Um exemplo é especificado na RFC 3810 seção 5.2.13 , que explica os pacotes para ff02::16 .
Esses pacotes não parecem falsificados e não devem acionar um erro de RPF. Portanto, acho que isso é um erro de implementação no ASA. Eu não posso ter certeza, porém, sem ver os pacotes reais. É provavelmente uma boa ideia abrir um caso do Cisco TAC para isso.