Dieser Artikel beschreibt die Schutzaspekte der Steuerebene der Router der Huawei NE-Serie. Beispiele sind für NE40e mit Software angegeben: VRP V800R008. Bei anderen Routertypen (z. B. NE5k) und mit einer anderen Version der Software kann die Konfiguration geringfügig abweichen.
Für eine detailliertere Untersuchung dieses Problems kann ich mich zusätzlich mit RFC 6192 (Schutz der Router-Steuerebene) vertraut machen.
In VRP gibt es eine Reihe von Möglichkeiten, die Steuerebene von Routern automatisch zu diagnostizieren und zu schützen. Angesichts der Knappheit und Undurchsichtigkeit der Dokumentation empfehle ich jedoch, dass Sie sich weiterhin an die traditionelle Schutzmethode halten: Erstellen von Whitelists für die erforderlichen Protokolle und Dienste und Schließen des restlichen Datenverkehrs.
Der Hauptteil der Richtlinien lautet wie folgt:
cpu-defend policy 1 process-sequence whitelist user-defined-flow blacklist cp-acl ip-pool enable whitelist disable blacklist acl 3900 blacklist ipv6 acl 3950 application-apperceive disable ip urpf loose
Die Prozesssequenz bestimmt die Reihenfolge der Richtlinie: Weiße Liste (in unserem Fall deaktiviert), Benutzerdefinierter Ablauf, Schwarze Liste (Regel 3900 für IPv4 und 3950 für IPv6).
In Anbetracht der Tatsache, dass wir die zulässigen Protokolle selbst bestimmen, wird der Rest des Datenverkehrs durch eine schwarze Liste gefiltert - es ist keine anwendungsbezogene Analyse erforderlich .
Der URPf- Mechanismus (Unicast Reverse Path Forwarding) ist auf einer konservativen, losen Ebene aktiviert .
Die Blacklists für IPv4 und IPv6 lauten wie folgt:
acl number 3900 description --- ACL For IPv4 Discard --- rule 5 deny tcp rule 10 deny udp rule 15 deny ip # acl ipv6 number 3950 description --- ACL For IPv6 Discard --- rule 5 deny tcp rule 10 deny udp rule 15 deny ipv6
Die Richtlinie muss auf jeden Steckplatz angewendet werden:
slot 1 cpu-defend-policy 1 # slot 2 cpu-defend-policy 1 …
Standardmäßig sind die folgenden Schutzmechanismen aktiviert:
udp-packet-defend enable fragment-flood enable abnormal-packet-defend enable tcpsyn-flood enable attack-source-trace enable
Es wird empfohlen, alle nicht verwendeten Protokolle und Dienste im Abschnitt ma-defens zu schließen . Diese Option kann sowohl global als auch über Slots aktiviert werden. Zum Beispiel:
system-view ma-defend global-policy protocol OSPF deny protocol RIP deny
oder
system-view ma-defend slot-policy 1 protocol … deny
Im Folgenden wird eine benutzerdefinierte Richtlinie beschrieben. Allgemeine Regeln sind in der folgenden Tabelle zusammengefasst. Werte für Geschwindigkeit / Priorität sind als Beispiel angegeben und erheben keinen Anspruch auf "die ultimative Wahrheit". Die maximale Anzahl von Elementen in einer benutzerdefinierten Richtlinie beträgt 64.
| Art des Verkehrs | Geschwindigkeit | Priorität | Regelnummer |
|---|
| BGP | 1 Mb / s | Hoch | 3901 |
| Ldp | 1 Mb / s | Hoch | 3902 |
| IS-IS | N \ a | N \ a | N \ a |
| VRRP | 1 Mb / s | Hoch | 3904 |
| Bfd | 1 Mb / s | Hoch | 3905 |
| Mcast | 1 Mb / s | Hoch | 3906 |
| Ssh | 512 Kb / s | Mitte | 3907 |
| FTP | 5 Mb / s | Niedrig | 3908 |
| DNS | 512 Kb / s | Niedrig | 3909 |
| SNMP | 1 Mb / s | Mitte | 3910 |
| TACACS + | 1 Mb / s | Niedrig | 3911 |
| NTP | 512 Kb / s | Niedrig | 3912 |
| ICMP, Trace, LSP-Ping | 512 Kb / s | Niedrig | 3913 |
Betrachten Sie als Nächstes ACL-Filter für die jeweiligen Protokolle / Dienste.
3901. Das BGP-Protokoll.
Die Regel zum Filtern von BGP kann entweder vereinfacht aussehen:
acl number 3901 rule permit tcp destination-port eq bgp rule permit tcp source-port eq bgp
oder für jedes Fest einzeln:
acl ip-pool BGP-Peers ip address 10.1.1.1 0.0.0.0 acl number 3901 rule permit tcp source-pool BGP-Peers 0 destination-port eq bgp rule permit tcp source-pool BGP-Peers 0 source-port eq bgp
3902. Das LDP-Protokoll.
rule 5 permit tcp source-pool Lo0_P2P destination-port eq 646 rule 10 permit tcp source-pool Lo0_P2P source-port eq 646 rule 15 permit udp source-pool Lo0_P2P destination-port eq 646 rule 20 permit udp source-pool Lo0_P2P source-port eq 646
3904. VRRP
acl ip-pool VRRP_Peers ip address 10.1.1.1 0.0.0.0 acl number 3904 rule permit 112 source-pool VRRP_Peers
3905. BFD
acl number 3343 rule permit udp source-pool Lo0_P2P destination-port eq 3784 rule permit udp source-pool Lo0_P2P source-port eq 3784
3906. Alle MCAST (IGMP, PIM, MSDP)
acl number 3906 rule permit 103 rule permit igmp rule permit udp destination-port eq 639 rule permit udp source-port eq 639 rule permit tcp destination-port eq 639 rule permit tcp source-port eq 639
3907. SSH
acl number 3907 description ### SSH access ### rule 5 permit tcp source-pool MGMT source-port eq 22 rule 10 permit tcp source-pool MGMT destination-port eq 22 rule 15 permit tcp source-pool MGMT destination-port eq 830
3908. FTP. FTP-Daten
acl port-pool ftp eq 20 eq 21 acl number 3908 rule 10 permit tcp source-pool MGMT source-port-pool ftp rule 15 permit tcp source-pool MGMT destination-port-pool ftp
3909. DNS
acl ip-pool DNS ip address 1.1.1.1 0.0.0.0 ip address 8.8.8.8 0.0.0.0 acl number 3909 rule 5 permit udp source-pool DNS source-port eq dns
3910. SNMP
acl number 3909 rule 5 permit udp source-pool SNMP source-port eq snmp rule 10 permit udp source-pool SNMP destination-port eq snmp
3911. TACACS +
acl number 3911 rule 5 permit tcp source-pool TACACS source-port eq tacacs rule 10 permit udp source-pool TACACS source-port eq tacacs-ds
3912. NTP
acl number 3911 rule 5 permit udp source-pool NTP source-port eq ntp rule 10 permit udp source-pool NTP destination-port eq ntp
3913. ICMP
acl number 3342 rule permit icmp icmp-type echo rule permit icmp icmp-type echo-reply rule permit icmp icmp-type ttl-exceeded rule permit icmp icmp-type port-unreachable rule permit icmp icmp-type Fragmentneed-DFset rule permit icmp rule permit udp destination-port range 33434 33678 rule permit udp destination-port eq 3503
3951. BGP für IPv6
acl ipv6 number 3951 rule 5 permit tcp destination-port eq bgp
3952. ICMPv6
acl ipv6 number 3952 rule 30 permit icmpv6 rule 35 permit udp destination-port range 33434 33678
Um Blätter zu verwenden, müssen Sie sie wie folgt an die CPU-Verteidigungsrichtlinie binden:
cpu-defend policy 1 ... user-defined-flow 1 acl 3901 user-defined-flow 2 acl 3902 user-defined-flow 4 acl 3904 user-defined-flow 5 acl 3905 user-defined-flow 6 acl 3906 user-defined-flow 7 acl 3907 user-defined-flow 8 acl 3908 user-defined-flow 9 acl 3909 user-defined-flow 10 acl 3910 user-defined-flow 11 acl 3911 user-defined-flow 12 acl 3912 user-defined-flow 13 acl 3913 user-defined-flow 51 ipv6 acl 3951 user-defined-flow 52 ipv6 acl 3952 car blacklist cir 0 cbs 0 car user-defined-flow 1 cir 1000 car user-defined-flow 2 cir 1000 car user-defined-flow 4 cir 1000 car user-defined-flow 5 cir 1000 car user-defined-flow 6 cir 1000 car user-defined-flow 7 cir 512 car user-defined-flow 8 cir 5000 car user-defined-flow 9 cir 512 car user-defined-flow 10 cir 1000 car user-defined-flow 11 cir 1000 car user-defined-flow 12 cir 512 car user-defined-flow 13 cir 512 car user-defined-flow 51 cir 10000 car user-defined-flow 52 cir 512 priority user-defined-flow 1 high priority user-defined-flow 2 high priority user-defined-flow 4 high priority user-defined-flow 5 high priority user-defined-flow 6 high priority user-defined-flow 7 middle priority user-defined-flow 8 low priority user-defined-flow 9 low priority user-defined-flow 10 middle priority user-defined-flow 11 low priority user-defined-flow 12 low priority user-defined-flow 13 low priority user-defined-flow 51 high priority user-defined-flow 52 low
Um Warnungen für Papierkorb festzulegen, können Sie die folgende Funktion verwenden:
cpu-defend policy 1 ... alarm drop-rate user-defined-flow 7 threshold 100 interval 60
Hier wird der Schwellenwert in Paketen und das Intervall in Sekunden festgelegt.
Statistiken zum Betrieb von CoPP-Filtern finden Sie im Abschnitt CPU-Verteidigung anzeigen ...
Nach Abschluss der Einstellungen lohnt es sich zusätzlich, den Router zu scannen.
Abschließend möchte ich darauf hinweisen, dass Huawei (wie jeder moderne Anbieter) alle erforderlichen Methoden zum Schutz der Steuerebene seiner Router anbietet. Regelmäßig erscheinende Meldungen zu gefundenen Sicherheitslücken zeigen, dass diese Tools nicht vernachlässigt werden sollten.