В этой статье обсуждаются аспекты безопасности плоскости управления для маршрутизаторов Huawei серии NE. Примеры показаны для NE40e с программным обеспечением: VRP V800R008. На других типах роутеров (например NE5k) и с другой версией ПО конфигурация может немного отличаться.
Для более детального изучения этого вопроса могу порекомендовать дополнительно прочитать RFC 6192 (Защита плоскости управления маршрутизатором).
VRP имеет ряд способов автоматической диагностики и защиты плоскости управления маршрутизаторами.
Однако, учитывая скудность и непрозрачность документации, я рекомендую придерживаться традиционного метода защиты: создания белых списков необходимых протоколов и сервисов и закрытия остального трафика.
Основной раздел политики выглядит следующим образом:
последовательность процессов определяет последовательность работы политики: белый список (который в нашем случае отключен), user-defined-flow, черный список (правило 3900 для IPv4 и 3950 для IPv6).cpu-defend policy 1 process-sequence whitelist user-defined-flow blacklist cp-acl ip-pool enable whitelist disable blacklist acl 3900 blacklist ipv6 acl 3950 application-apperceive disable ip urpf loose
Учитывая, что разрешенные протоколы мы определим сами, весь остальной трафик будет фильтроваться черным списком – необходимости в этом нет. приложение-апперцепция никакого анализа.
Механизм УРПф (Пересылка по обратному пути одноадресной рассылки) включена на консервативном свободном уровне.
Черные списки для IPv4 и IPv6 выглядят следующим образом: acl number 3900
description --- ACL For IPv4 Discard ---
rule 5 deny tcp
rule 10 deny udp
rule 15 deny ip
#
acl ipv6 number 3950
description --- ACL For IPv6 Discard ---
rule 5 deny tcp
rule 10 deny udp
rule 15 deny ipv6
Политика должна применяться к каждому слоту: slot 1
cpu-defend-policy 1
#
slot 2
cpu-defend-policy 1
…
По умолчанию включены следующие механизмы защиты: udp-packet-defend enable
fragment-flood enable
abnormal-packet-defend enable
tcpsyn-flood enable
attack-source-trace enable
Рекомендуется дополнительно закрыть все неиспользуемые протоколы и сервисы в разделе ма-защищать .
Эту опцию можно включить как глобально, так и по слотам.
Например: system-view
ma-defend global-policy
protocol OSPF deny
protocol RIP deny
или system-view
ma-defend slot-policy 1
protocol … deny
Ниже описано определяемые пользователем политика.
Общие правила сведены в таблицу ниже.
Значения скорости/приоритета указаны в качестве примера и не претендуют на «истину в последней инстанции».
Максимальное количество элементов в пользовательской политике — 64.
| Тип трафика | Скорость | Приоритет | Номер правила |
|---|---|---|---|
| BGP | 1 Мбит/с | Высокий | 3901 |
| ЛДП | 1 Мбит/с | Высокий | 3902 |
| ЕСТЬ-Есть | н\д | н\д | н\д |
| ВРРП | 1 Мбит/с | Высокий | 3904 |
| Б.
Ф. Д.
|
1 Мбит/с | Высокий | 3905 |
| MCAST | 1 Мбит/с | Высокий | 3906 |
| SSH | 512 Кбит/с | Середина | 3907 |
| FTP | 5 Мбит/с | Низкий | 3908 |
| DNS | 512 Кбит/с | Низкий | 3909 |
| SNMP | 1 Мбит/с | Середина | 3910 |
| ТАКАКС+ | 1 Мбит/с | Низкий | 3911 |
| НТП | 512 Кбит/с | Низкий | 3912 |
| ICMP, трассировка, lsp-пинг | 512 Кбит/с | Низкий | 3913 |
3901. Протокол BGP.
Правило фильтрации протокола BGP может выглядеть так: acl number 3901
rule permit tcp destination-port eq bgp
rule permit tcp source-port eq bgp
или для каждого узла отдельно: acl ip-pool BGP-Peers
ip address 10.1.1.1 0.0.0.0
acl number 3901
rule permit tcp source-pool BGP-Peers 0 destination-port eq bgp
rule permit tcp source-pool BGP-Peers 0 source-port eq bgp
3902. Протокол ЛДП.
rule 5 permit tcp source-pool Lo0_P2P destination-port eq 646
rule 10 permit tcp source-pool Lo0_P2P source-port eq 646
rule 15 permit udp source-pool Lo0_P2P destination-port eq 646
rule 20 permit udp source-pool Lo0_P2P source-port eq 646
3904.ВРРП acl ip-pool VRRP_Peers
ip address 10.1.1.1 0.0.0.0
acl number 3904
rule permit 112 source-pool VRRP_Peers
3905.Б.
Ф.
Д.
acl number 3343
rule permit udp source-pool Lo0_P2P destination-port eq 3784
rule permit udp source-pool Lo0_P2P source-port eq 3784
3906. Все MCAST (IGMP, PIM, MSDP) acl number 3906
rule permit 103
rule permit igmp
rule permit udp destination-port eq 639
rule permit udp source-port eq 639
rule permit tcp destination-port eq 639
rule permit tcp source-port eq 639
3907.СШ acl number 3907
description ### SSH access ###
rule 5 permit tcp source-pool MGMT source-port eq 22
rule 10 permit tcp source-pool MGMT destination-port eq 22
rule 15 permit tcp source-pool MGMT destination-port eq 830
3908.ФТП.
FTP-данные acl port-pool ftp
eq 20
eq 21
acl number 3908
rule 10 permit tcp source-pool MGMT source-port-pool ftp
rule 15 permit tcp source-pool MGMT destination-port-pool ftp
3909.DNS acl ip-pool DNS
ip address 1.1.1.1 0.0.0.0
ip address 8.8.8.8 0.0.0.0
acl number 3909
rule 5 permit udp source-pool DNS source-port eq dns
3910.SNMP acl number 3909
rule 5 permit udp source-pool SNMP source-port eq snmp
rule 10 permit udp source-pool SNMP destination-port eq snmp
3911.ТАКАКС+ acl number 3911
rule 5 permit tcp source-pool TACACS source-port eq tacacs
rule 10 permit udp source-pool TACACS source-port eq tacacs-ds
3912.НТП acl number 3911
rule 5 permit udp source-pool NTP source-port eq ntp
rule 10 permit udp source-pool NTP destination-port eq ntp
3913.ICMP acl number 3342
rule permit icmp icmp-type echo
rule permit icmp icmp-type echo-reply
rule permit icmp icmp-type ttl-exceeded
rule permit icmp icmp-type port-unreachable
rule permit icmp icmp-type Fragmentneed-DFset
rule permit icmp
rule permit udp destination-port range 33434 33678
rule permit udp destination-port eq 3503
3951. BGP для IPv6. acl ipv6 number 3951
rule 5 permit tcp destination-port eq bgp
3952.ICMPv6 acl ipv6 number 3952
rule 30 permit icmpv6
rule 35 permit udp destination-port range 33434 33678
Чтобы использовать листы, их необходимо привязать к политике защиты процессора следующим образом: cpu-defend policy 1
.
user-defined-flow 1 acl 3901
user-defined-flow 2 acl 3902
user-defined-flow 4 acl 3904
user-defined-flow 5 acl 3905
user-defined-flow 6 acl 3906
user-defined-flow 7 acl 3907
user-defined-flow 8 acl 3908
user-defined-flow 9 acl 3909
user-defined-flow 10 acl 3910
user-defined-flow 11 acl 3911
user-defined-flow 12 acl 3912
user-defined-flow 13 acl 3913
user-defined-flow 51 ipv6 acl 3951
user-defined-flow 52 ipv6 acl 3952
car blacklist cir 0 cbs 0
car user-defined-flow 1 cir 1000
car user-defined-flow 2 cir 1000
car user-defined-flow 4 cir 1000
car user-defined-flow 5 cir 1000
car user-defined-flow 6 cir 1000
car user-defined-flow 7 cir 512
car user-defined-flow 8 cir 5000
car user-defined-flow 9 cir 512
car user-defined-flow 10 cir 1000
car user-defined-flow 11 cir 1000
car user-defined-flow 12 cir 512
car user-defined-flow 13 cir 512
car user-defined-flow 51 cir 10000
car user-defined-flow 52 cir 512
priority user-defined-flow 1 high
priority user-defined-flow 2 high
priority user-defined-flow 4 high
priority user-defined-flow 5 high
priority user-defined-flow 6 high
priority user-defined-flow 7 middle
priority user-defined-flow 8 low
priority user-defined-flow 9 low
priority user-defined-flow 10 middle
priority user-defined-flow 11 low
priority user-defined-flow 12 low
priority user-defined-flow 13 low
priority user-defined-flow 51 high
priority user-defined-flow 52 low
Чтобы выдавать предупреждения о запретах на удаление мусора, вы можете использовать следующую функцию: cpu-defend policy 1
.
alarm drop-rate user-defined-flow 7 threshold 100 interval 60
здесь пороговое значение задается в пакетах, а интервал — в секундах.
Статистику работы фильтров CoPP можно посмотреть в разделе дисплей защиты процессора.
После завершения настройки следует также просканировать роутер.
В заключение хотелось бы отметить, что Huawei (как и любой современный производитель) предлагает все необходимые методы для защиты плоскости управления своих роутеров.
И периодически появляющиеся сообщения о найденных уязвимостях показывают, что пренебрегать этими инструментами нельзя.
Теги: #информационная безопасность #Сетевые технологии #сетевое оборудование #Системное администрирование #Huawei
-
Пищевые Добавки
19 Oct, 24 -
Доказательства В Науке? Нет Ни Одного Из Них
19 Oct, 24 -
Отладка В Python С Помощью Консоли
19 Oct, 24 -
Как Мы Видим Себя И Как Они Видят Нас
19 Oct, 24 -
Начать Бизнес
19 Oct, 24
