Huawei: Protection de l'avion de contrôle

Cet article décrit les aspects de protection du plan de contrôle des routeurs Huawei NE Series. Des exemples sont donnés pour NE40e, avec le logiciel: VRP V800R008. Sur d'autres types de routeurs (par exemple NE5k) et avec une version différente du logiciel, la configuration peut être légèrement différente.

Pour une étude plus détaillée de ce problème, je peux en outre vous familiariser avec la RFC 6192 (Protection du plan de contrôle du routeur).

Dans VRP, il existe plusieurs façons de diagnostiquer et de protéger automatiquement le plan de contrôle des routeurs. Cependant, étant donné la rareté et l'opacité de la documentation, je recommande que vous respectiez toujours la méthode de protection traditionnelle: créer des listes blanches pour les protocoles et services nécessaires et fermer le reste du trafic.

La section politique principale est la suivante:

cpu-defend policy 1 process-sequence whitelist user-defined-flow blacklist cp-acl ip-pool enable whitelist disable blacklist acl 3900 blacklist ipv6 acl 3950 application-apperceive disable ip urpf loose 

process-sequence détermine la séquence de la stratégie: liste blanche (qui est désactivée dans notre cas), flux défini par l'utilisateur, liste noire (règle 3900 pour IPv4 et 3950 pour IPv6).

Étant donné que nous déterminerons nous-mêmes les protocoles autorisés, le reste du trafic sera filtré par une liste noire - il n'est pas nécessaire d' effectuer une analyse basée sur l' application .

Le mécanisme URPf (Unicast Reverse Path Forwarding) est activé à un niveau lâche conservateur.

Les listes noires pour IPv4 et IPv6 sont les suivantes:

 acl number 3900 description --- ACL For IPv4 Discard --- rule 5 deny tcp rule 10 deny udp rule 15 deny ip # acl ipv6 number 3950 description --- ACL For IPv6 Discard --- rule 5 deny tcp rule 10 deny udp rule 15 deny ipv6 

La politique doit être appliquée sur chaque emplacement:

 slot 1 cpu-defend-policy 1 # slot 2 cpu-defend-policy 1 … 

Par défaut, les mécanismes de protection suivants sont activés:

 udp-packet-defend enable fragment-flood enable abnormal-packet-defend enable tcpsyn-flood enable attack-source-trace enable 

Il est recommandé de fermer tous les protocoles et services inutilisés dans la section ma-defense . Cette option peut être activée à la fois globalement et par emplacements. Par exemple:

 system-view ma-defend global-policy protocol OSPF deny protocol RIP deny 

ou

 system-view ma-defend slot-policy 1 protocol … deny 

Ce qui suit décrit une stratégie définie par l' utilisateur . Les règles générales sont résumées dans le tableau ci-dessous. Les valeurs de vitesse / priorité sont indiquées, à titre d'exemple, et ne prétendent pas être «la vérité ultime». Le nombre maximal d'éléments dans une stratégie définie par l'utilisateur est de 64.

Ensuite, considérez les filtres ACL pour les protocoles / services respectifs.

3901. Le protocole BGP.
La règle de filtrage BGP peut se présenter sous une forme simplifiée:

 acl number 3901 rule permit tcp destination-port eq bgp rule permit tcp source-port eq bgp 

ou, pour chaque fête séparément:

 acl ip-pool BGP-Peers ip address 10.1.1.1 0.0.0.0 acl number 3901 rule permit tcp source-pool BGP-Peers 0 destination-port eq bgp rule permit tcp source-pool BGP-Peers 0 source-port eq bgp 

3902. Le protocole LDP.

  rule 5 permit tcp source-pool Lo0_P2P destination-port eq 646 rule 10 permit tcp source-pool Lo0_P2P source-port eq 646 rule 15 permit udp source-pool Lo0_P2P destination-port eq 646 rule 20 permit udp source-pool Lo0_P2P source-port eq 646 

3904. VRRP

 acl ip-pool VRRP_Peers ip address 10.1.1.1 0.0.0.0 acl number 3904 rule permit 112 source-pool VRRP_Peers 

3905. BFD

 acl number 3343 rule permit udp source-pool Lo0_P2P destination-port eq 3784 rule permit udp source-pool Lo0_P2P source-port eq 3784 

3906. Tous les MCAST (IGMP, PIM, MSDP)

 acl number 3906 rule permit 103 rule permit igmp rule permit udp destination-port eq 639 rule permit udp source-port eq 639 rule permit tcp destination-port eq 639 rule permit tcp source-port eq 639 

3907. SSH

 acl number 3907 description ### SSH access ### rule 5 permit tcp source-pool MGMT source-port eq 22 rule 10 permit tcp source-pool MGMT destination-port eq 22 rule 15 permit tcp source-pool MGMT destination-port eq 830 

3908. FTP. Données FTP

 acl port-pool ftp eq 20 eq 21 acl number 3908 rule 10 permit tcp source-pool MGMT source-port-pool ftp rule 15 permit tcp source-pool MGMT destination-port-pool ftp 

3909. DNS

 acl ip-pool DNS ip address 1.1.1.1 0.0.0.0 ip address 8.8.8.8 0.0.0.0 acl number 3909 rule 5 permit udp source-pool DNS source-port eq dns 

3910. SNMP

 acl number 3909 rule 5 permit udp source-pool SNMP source-port eq snmp rule 10 permit udp source-pool SNMP destination-port eq snmp 

3911. TACACS +

 acl number 3911 rule 5 permit tcp source-pool TACACS source-port eq tacacs rule 10 permit udp source-pool TACACS source-port eq tacacs-ds 

3912. NTP

 acl number 3911 rule 5 permit udp source-pool NTP source-port eq ntp rule 10 permit udp source-pool NTP destination-port eq ntp 

3913. ICMP

 acl number 3342 rule permit icmp icmp-type echo rule permit icmp icmp-type echo-reply rule permit icmp icmp-type ttl-exceeded rule permit icmp icmp-type port-unreachable rule permit icmp icmp-type Fragmentneed-DFset rule permit icmp rule permit udp destination-port range 33434 33678 rule permit udp destination-port eq 3503 

3951. BGP pour IPv6

 acl ipv6 number 3951 rule 5 permit tcp destination-port eq bgp 

3952. ICMPv6

 acl ipv6 number 3952 rule 30 permit icmpv6 rule 35 permit udp destination-port range 33434 33678 

Pour utiliser des feuilles, vous devez les lier à la politique cpu-defense comme suit:

 cpu-defend policy 1 ... user-defined-flow 1 acl 3901 user-defined-flow 2 acl 3902 user-defined-flow 4 acl 3904 user-defined-flow 5 acl 3905 user-defined-flow 6 acl 3906 user-defined-flow 7 acl 3907 user-defined-flow 8 acl 3908 user-defined-flow 9 acl 3909 user-defined-flow 10 acl 3910 user-defined-flow 11 acl 3911 user-defined-flow 12 acl 3912 user-defined-flow 13 acl 3913 user-defined-flow 51 ipv6 acl 3951 user-defined-flow 52 ipv6 acl 3952 car blacklist cir 0 cbs 0 car user-defined-flow 1 cir 1000 car user-defined-flow 2 cir 1000 car user-defined-flow 4 cir 1000 car user-defined-flow 5 cir 1000 car user-defined-flow 6 cir 1000 car user-defined-flow 7 cir 512 car user-defined-flow 8 cir 5000 car user-defined-flow 9 cir 512 car user-defined-flow 10 cir 1000 car user-defined-flow 11 cir 1000 car user-defined-flow 12 cir 512 car user-defined-flow 13 cir 512 car user-defined-flow 51 cir 10000 car user-defined-flow 52 cir 512 priority user-defined-flow 1 high priority user-defined-flow 2 high priority user-defined-flow 4 high priority user-defined-flow 5 high priority user-defined-flow 6 high priority user-defined-flow 7 middle priority user-defined-flow 8 low priority user-defined-flow 9 low priority user-defined-flow 10 middle priority user-defined-flow 11 low priority user-defined-flow 12 low priority user-defined-flow 13 low priority user-defined-flow 51 high priority user-defined-flow 52 low 

Pour définir des alertes sur les poubelles, vous pouvez utiliser la fonction suivante:

 cpu-defend policy 1 ... alarm drop-rate user-defined-flow 7 threshold 100 interval 60 

ici, la valeur de seuil est définie en paquets et l'intervalle en secondes.

Des statistiques sur le fonctionnement des filtres CoPP peuvent être trouvées dans la section affichage cpu- defense ...
Une fois les réglages terminés, il vaut également la peine de scanner le routeur.

En conclusion, je tiens à noter que Huawei (comme tout fournisseur moderne) propose toutes les méthodes nécessaires pour protéger le plan de contrôle de ses routeurs. Et des messages apparaissant périodiquement sur les vulnérabilités trouvées montrent que ces outils ne doivent pas être négligés.