تتناول هذه المقالة جوانب الحماية لمستوى التحكم في أجهزة توجيه Huawei NE Series. أمثلة على NE40e ، مع البرنامج: VRP V800R008. في أنواع أخرى من أجهزة التوجيه (مثل NE5k) ومع إصدار مختلف من البرنامج ، قد يكون التكوين مختلفًا قليلاً.
لإجراء دراسة أكثر تفصيلاً لهذه المشكلة ، يمكنني أيضًا التعرف على RFC 6192 (حماية طائرة التحكم في جهاز التوجيه).
في VRP ، هناك عدد من الطرق لتشخيص مستوى التحكم في أجهزة التوجيه وحمايته تلقائيًا. ومع ذلك ، نظرًا لندرة وغموض التوثيق ، أوصي بأنك ما زلت تلتزم بالطريقة التقليدية للحماية: إنشاء قوائم بيضاء للبروتوكولات والخدمات الضرورية وإغلاق بقية حركة المرور.
قسم السياسة الرئيسي على النحو التالي:
cpu-defend policy 1 process-sequence whitelist user-defined-flow blacklist cp-acl ip-pool enable whitelist disable blacklist acl 3900 blacklist ipv6 acl 3950 application-apperceive disable ip urpf loose
يحدد تسلسل العملية تسلسل السياسة: القائمة البيضاء (التي يتم إيقاف تشغيلها في حالتنا) ، التدفق المحدد من قبل المستخدم ، القائمة السوداء (القاعدة 3900 لـ IPv4 و 3950 لـ IPv6).
مع الأخذ في الاعتبار أننا سنحدد البروتوكولات المسموح بها بأنفسنا ، سيتم تصفية بقية حركة المرور بواسطة قائمة سوداء - ليست هناك حاجة لتحليل التطبيق-appiliive .
يتم تشغيل آلية URPf (إعادة توجيه المسار العكسي أحادي الإرسال) على مستوى فضفاض متحفظ.
القوائم السوداء ل IPv4 و IPv6 هي كما يلي:
acl number 3900 description --- ACL For IPv4 Discard --- rule 5 deny tcp rule 10 deny udp rule 15 deny ip # acl ipv6 number 3950 description --- ACL For IPv6 Discard --- rule 5 deny tcp rule 10 deny udp rule 15 deny ipv6
يجب تطبيق السياسة على كل فتحة:
slot 1 cpu-defend-policy 1 # slot 2 cpu-defend-policy 1 …
بشكل افتراضي ، يتم تمكين آليات الحماية التالية:
udp-packet-defend enable fragment-flood enable abnormal-packet-defend enable tcpsyn-flood enable attack-source-trace enable
يوصى بإغلاق جميع البروتوكولات والخدمات غير المستخدمة في قسم الدفاع عن النفس . يمكن تمكين هذا الخيار على مستوى العالم ومن خلال الفتحات. على سبيل المثال:
system-view ma-defend global-policy protocol OSPF deny protocol RIP deny
او
system-view ma-defend slot-policy 1 protocol … deny
فيما يلي وصف لسياسة معرفة من قبل المستخدم . القواعد العامة ملخصة في الجدول أدناه. يشار إلى قيم السرعة / الأولوية ، كمثال ، ولا تدعي أنها "الحقيقة المطلقة". الحد الأقصى لعدد العناصر في سياسة يحددها المستخدم هو 64.
| نوع المرور | السرعة | الأولوية | رقم القاعدة |
|---|
| BGP | 1 ميجابايت / ثانية | عالي | 3901 |
| Ldp | 1 ميجابايت / ثانية | عالية | 3902 |
| IS-IS | لا \ أ | لا \ أ | لا \ أ |
| VRRP | 1 ميجابايت / ثانية | عالي | 3904 |
| بفد | 1 ميجابايت / ثانية | عالي | 3905 |
| مكاست | 1 ميجابايت / ثانية | عالي | 3906 |
| Ssh | 512 كيلوبت / ثانية | الأوسط | 3907 |
| بروتوكول نقل الملفات | 5 ميغا بايت / ثانية | منخفض | 3908 |
| DNS | 512 كيلوبت / ثانية | منخفض | 3909 |
| SNMP | 1 ميجابايت / ثانية | الأوسط | 3910 |
| TACACS + | 1 ميجابايت / ثانية | منخفض | 3911 |
| NTP | 512 كيلوبت / ثانية | منخفض | 3912 |
| ICMP ، التتبع ، lsp-ping | 512 كيلوبت / ثانية | منخفض | 3913 |
بعد ذلك ، ضع في اعتبارك مرشحات ACL للبروتوكولات / الخدمات ذات الصلة.
3901. بروتوكول BGP.
قد تبدو قاعدة تصفية BGP إما في شكل مبسط:
acl number 3901 rule permit tcp destination-port eq bgp rule permit tcp source-port eq bgp
أو لكل وليمة على حدة:
acl ip-pool BGP-Peers ip address 10.1.1.1 0.0.0.0 acl number 3901 rule permit tcp source-pool BGP-Peers 0 destination-port eq bgp rule permit tcp source-pool BGP-Peers 0 source-port eq bgp
3902. بروتوكول LDP.
rule 5 permit tcp source-pool Lo0_P2P destination-port eq 646 rule 10 permit tcp source-pool Lo0_P2P source-port eq 646 rule 15 permit udp source-pool Lo0_P2P destination-port eq 646 rule 20 permit udp source-pool Lo0_P2P source-port eq 646
3904. VRRP
acl ip-pool VRRP_Peers ip address 10.1.1.1 0.0.0.0 acl number 3904 rule permit 112 source-pool VRRP_Peers
3905. بي إف دي
acl number 3343 rule permit udp source-pool Lo0_P2P destination-port eq 3784 rule permit udp source-pool Lo0_P2P source-port eq 3784
3906. كل MCAST (IGMP، PIM، MSDP)
acl number 3906 rule permit 103 rule permit igmp rule permit udp destination-port eq 639 rule permit udp source-port eq 639 rule permit tcp destination-port eq 639 rule permit tcp source-port eq 639
3907. إس إس إتش
acl number 3907 description ### SSH access ### rule 5 permit tcp source-pool MGMT source-port eq 22 rule 10 permit tcp source-pool MGMT destination-port eq 22 rule 15 permit tcp source-pool MGMT destination-port eq 830
3908. FTP. بيانات FTP
acl port-pool ftp eq 20 eq 21 acl number 3908 rule 10 permit tcp source-pool MGMT source-port-pool ftp rule 15 permit tcp source-pool MGMT destination-port-pool ftp
3909. DNS
acl ip-pool DNS ip address 1.1.1.1 0.0.0.0 ip address 8.8.8.8 0.0.0.0 acl number 3909 rule 5 permit udp source-pool DNS source-port eq dns
3910. SNMP
acl number 3909 rule 5 permit udp source-pool SNMP source-port eq snmp rule 10 permit udp source-pool SNMP destination-port eq snmp
3911. تاكاكس +
acl number 3911 rule 5 permit tcp source-pool TACACS source-port eq tacacs rule 10 permit udp source-pool TACACS source-port eq tacacs-ds
3912. NTP
acl number 3911 rule 5 permit udp source-pool NTP source-port eq ntp rule 10 permit udp source-pool NTP destination-port eq ntp
3913. ICMP
acl number 3342 rule permit icmp icmp-type echo rule permit icmp icmp-type echo-reply rule permit icmp icmp-type ttl-exceeded rule permit icmp icmp-type port-unreachable rule permit icmp icmp-type Fragmentneed-DFset rule permit icmp rule permit udp destination-port range 33434 33678 rule permit udp destination-port eq 3503
3951. BGP لـ IPv6
acl ipv6 number 3951 rule 5 permit tcp destination-port eq bgp
3952. ICMPv6
acl ipv6 number 3952 rule 30 permit icmpv6 rule 35 permit udp destination-port range 33434 33678
لاستخدام الأوراق ، تحتاج إلى ربطها بسياسة الدفاع عن وحدة المعالجة المركزية على النحو التالي:
cpu-defend policy 1 ... user-defined-flow 1 acl 3901 user-defined-flow 2 acl 3902 user-defined-flow 4 acl 3904 user-defined-flow 5 acl 3905 user-defined-flow 6 acl 3906 user-defined-flow 7 acl 3907 user-defined-flow 8 acl 3908 user-defined-flow 9 acl 3909 user-defined-flow 10 acl 3910 user-defined-flow 11 acl 3911 user-defined-flow 12 acl 3912 user-defined-flow 13 acl 3913 user-defined-flow 51 ipv6 acl 3951 user-defined-flow 52 ipv6 acl 3952 car blacklist cir 0 cbs 0 car user-defined-flow 1 cir 1000 car user-defined-flow 2 cir 1000 car user-defined-flow 4 cir 1000 car user-defined-flow 5 cir 1000 car user-defined-flow 6 cir 1000 car user-defined-flow 7 cir 512 car user-defined-flow 8 cir 5000 car user-defined-flow 9 cir 512 car user-defined-flow 10 cir 1000 car user-defined-flow 11 cir 1000 car user-defined-flow 12 cir 512 car user-defined-flow 13 cir 512 car user-defined-flow 51 cir 10000 car user-defined-flow 52 cir 512 priority user-defined-flow 1 high priority user-defined-flow 2 high priority user-defined-flow 4 high priority user-defined-flow 5 high priority user-defined-flow 6 high priority user-defined-flow 7 middle priority user-defined-flow 8 low priority user-defined-flow 9 low priority user-defined-flow 10 middle priority user-defined-flow 11 low priority user-defined-flow 12 low priority user-defined-flow 13 low priority user-defined-flow 51 high priority user-defined-flow 52 low
لتعيين التنبيهات على المهملات ، يمكنك استخدام الوظيفة التالية:
cpu-defend policy 1 ... alarm drop-rate user-defined-flow 7 threshold 100 interval 60
هنا يتم تعيين قيمة العتبة في الحزم ، والفاصل الزمني بالثواني.
يمكن العثور على إحصائيات حول تشغيل مرشحات CoPP في قسم الدفاع عن وحدة المعالجة المركزية للشاشة ...
بعد إكمال الإعدادات ، يجدر أيضًا فحص جهاز التوجيه.
في الختام ، أود أن أشير إلى أن Huawei (مثل أي بائع حديث) تقدم جميع الطرق اللازمة لحماية مستوى التحكم في أجهزة التوجيه الخاصة بها. وتظهر الرسائل التي تظهر بشكل دوري حول نقاط الضعف الموجودة أنه لا ينبغي تجاهل هذه الأدوات.