Cet article dĂ©crit les aspects de protection du plan de contrĂŽle des routeurs Huawei NE Series. Des exemples sont donnĂ©s pour NE40e, avec le logiciel: VRP V800R008. Sur d'autres types de routeurs (par exemple NE5k) et avec une version diffĂ©rente du logiciel, la configuration peut ĂȘtre lĂ©gĂšrement diffĂ©rente.
Pour une étude plus détaillée de ce problÚme, je peux en outre vous familiariser avec la RFC 6192 (Protection du plan de contrÎle du routeur).
Dans VRP, il existe plusieurs façons de diagnostiquer et de protéger automatiquement le plan de contrÎle des routeurs. Cependant, étant donné la rareté et l'opacité de la documentation, je recommande que vous respectiez toujours la méthode de protection traditionnelle: créer des listes blanches pour les protocoles et services nécessaires et fermer le reste du trafic.
La section politique principale est la suivante:
cpu-defend policy 1 process-sequence whitelist user-defined-flow blacklist cp-acl ip-pool enable whitelist disable blacklist acl 3900 blacklist ipv6 acl 3950 application-apperceive disable ip urpf loose
process-sequence détermine la séquence de la stratégie: liste blanche (qui est désactivée dans notre cas), flux défini par l'utilisateur, liste noire (rÚgle 3900 pour IPv4 et 3950 pour IPv6).
Ătant donnĂ© que nous dĂ©terminerons nous-mĂȘmes les protocoles autorisĂ©s, le reste du trafic sera filtrĂ© par une liste noire - il n'est pas nĂ©cessaire d' effectuer une analyse basĂ©e sur l' application .
Le mécanisme URPf (Unicast Reverse Path Forwarding) est activé à un niveau lùche conservateur.
Les listes noires pour IPv4 et IPv6 sont les suivantes:
acl number 3900 description --- ACL For IPv4 Discard --- rule 5 deny tcp rule 10 deny udp rule 15 deny ip # acl ipv6 number 3950 description --- ACL For IPv6 Discard --- rule 5 deny tcp rule 10 deny udp rule 15 deny ipv6
La politique doit ĂȘtre appliquĂ©e sur chaque emplacement:
slot 1 cpu-defend-policy 1 # slot 2 cpu-defend-policy 1 âŠ
Par défaut, les mécanismes de protection suivants sont activés:
udp-packet-defend enable fragment-flood enable abnormal-packet-defend enable tcpsyn-flood enable attack-source-trace enable
Il est recommandĂ© de fermer tous les protocoles et services inutilisĂ©s dans la section ma-defense . Cette option peut ĂȘtre activĂ©e Ă la fois globalement et par emplacements. Par exemple:
system-view ma-defend global-policy protocol OSPF deny protocol RIP deny
ou
system-view ma-defend slot-policy 1 protocol ⊠deny
Ce qui suit dĂ©crit une stratĂ©gie dĂ©finie par l' utilisateur . Les rĂšgles gĂ©nĂ©rales sont rĂ©sumĂ©es dans le tableau ci-dessous. Les valeurs de vitesse / prioritĂ© sont indiquĂ©es, Ă titre d'exemple, et ne prĂ©tendent pas ĂȘtre «la vĂ©ritĂ© ultime». Le nombre maximal d'Ă©lĂ©ments dans une stratĂ©gie dĂ©finie par l'utilisateur est de 64.
Type de trafic | La vitesse | Priorité | Numéro de rÚgle |
---|
BGP | 1 Mb / s | ĂlevĂ© | 3901 |
Ldp | 1 Mb / s | ĂlevĂ© | 3902 |
IS-IS | N \ a | N \ a | N \ a |
VRRP | 1 Mb / s | ĂlevĂ© | 3904 |
Bfd | 1 Mb / s | ĂlevĂ© | 3905 |
Mcast | 1 Mb / s | ĂlevĂ© | 3906 |
Ssh | 512 Ko / s | Moyen | 3907 |
FTP | 5 Mb / s | Faible | 3908 |
DNS | 512 Ko / s | Faible | 3909 |
SNMP | 1 Mb / s | Moyen | 3910 |
TACACS + | 1 Mb / s | Faible | 3911 |
NTP | 512 Ko / s | Faible | 3912 |
ICMP, trace, lsp-ping | 512 Ko / s | Faible | 3913 |
Ensuite, considérez les filtres ACL pour les protocoles / services respectifs.
3901. Le protocole BGP.
La rÚgle de filtrage BGP peut se présenter sous une forme simplifiée:
acl number 3901 rule permit tcp destination-port eq bgp rule permit tcp source-port eq bgp
ou, pour chaque fĂȘte sĂ©parĂ©ment:
acl ip-pool BGP-Peers ip address 10.1.1.1 0.0.0.0 acl number 3901 rule permit tcp source-pool BGP-Peers 0 destination-port eq bgp rule permit tcp source-pool BGP-Peers 0 source-port eq bgp
3902. Le protocole LDP.
rule 5 permit tcp source-pool Lo0_P2P destination-port eq 646 rule 10 permit tcp source-pool Lo0_P2P source-port eq 646 rule 15 permit udp source-pool Lo0_P2P destination-port eq 646 rule 20 permit udp source-pool Lo0_P2P source-port eq 646
3904. VRRP
acl ip-pool VRRP_Peers ip address 10.1.1.1 0.0.0.0 acl number 3904 rule permit 112 source-pool VRRP_Peers
3905. BFD
acl number 3343 rule permit udp source-pool Lo0_P2P destination-port eq 3784 rule permit udp source-pool Lo0_P2P source-port eq 3784
3906. Tous les MCAST (IGMP, PIM, MSDP)
acl number 3906 rule permit 103 rule permit igmp rule permit udp destination-port eq 639 rule permit udp source-port eq 639 rule permit tcp destination-port eq 639 rule permit tcp source-port eq 639
3907. SSH
acl number 3907 description ### SSH access ### rule 5 permit tcp source-pool MGMT source-port eq 22 rule 10 permit tcp source-pool MGMT destination-port eq 22 rule 15 permit tcp source-pool MGMT destination-port eq 830
3908. FTP. Données FTP
acl port-pool ftp eq 20 eq 21 acl number 3908 rule 10 permit tcp source-pool MGMT source-port-pool ftp rule 15 permit tcp source-pool MGMT destination-port-pool ftp
3909. DNS
acl ip-pool DNS ip address 1.1.1.1 0.0.0.0 ip address 8.8.8.8 0.0.0.0 acl number 3909 rule 5 permit udp source-pool DNS source-port eq dns
3910. SNMP
acl number 3909 rule 5 permit udp source-pool SNMP source-port eq snmp rule 10 permit udp source-pool SNMP destination-port eq snmp
3911. TACACS +
acl number 3911 rule 5 permit tcp source-pool TACACS source-port eq tacacs rule 10 permit udp source-pool TACACS source-port eq tacacs-ds
3912. NTP
acl number 3911 rule 5 permit udp source-pool NTP source-port eq ntp rule 10 permit udp source-pool NTP destination-port eq ntp
3913. ICMP
acl number 3342 rule permit icmp icmp-type echo rule permit icmp icmp-type echo-reply rule permit icmp icmp-type ttl-exceeded rule permit icmp icmp-type port-unreachable rule permit icmp icmp-type Fragmentneed-DFset rule permit icmp rule permit udp destination-port range 33434 33678 rule permit udp destination-port eq 3503
3951. BGP pour IPv6
acl ipv6 number 3951 rule 5 permit tcp destination-port eq bgp
3952. ICMPv6
acl ipv6 number 3952 rule 30 permit icmpv6 rule 35 permit udp destination-port range 33434 33678
Pour utiliser des feuilles, vous devez les lier Ă la politique cpu-defense comme suit:
cpu-defend policy 1 ... user-defined-flow 1 acl 3901 user-defined-flow 2 acl 3902 user-defined-flow 4 acl 3904 user-defined-flow 5 acl 3905 user-defined-flow 6 acl 3906 user-defined-flow 7 acl 3907 user-defined-flow 8 acl 3908 user-defined-flow 9 acl 3909 user-defined-flow 10 acl 3910 user-defined-flow 11 acl 3911 user-defined-flow 12 acl 3912 user-defined-flow 13 acl 3913 user-defined-flow 51 ipv6 acl 3951 user-defined-flow 52 ipv6 acl 3952 car blacklist cir 0 cbs 0 car user-defined-flow 1 cir 1000 car user-defined-flow 2 cir 1000 car user-defined-flow 4 cir 1000 car user-defined-flow 5 cir 1000 car user-defined-flow 6 cir 1000 car user-defined-flow 7 cir 512 car user-defined-flow 8 cir 5000 car user-defined-flow 9 cir 512 car user-defined-flow 10 cir 1000 car user-defined-flow 11 cir 1000 car user-defined-flow 12 cir 512 car user-defined-flow 13 cir 512 car user-defined-flow 51 cir 10000 car user-defined-flow 52 cir 512 priority user-defined-flow 1 high priority user-defined-flow 2 high priority user-defined-flow 4 high priority user-defined-flow 5 high priority user-defined-flow 6 high priority user-defined-flow 7 middle priority user-defined-flow 8 low priority user-defined-flow 9 low priority user-defined-flow 10 middle priority user-defined-flow 11 low priority user-defined-flow 12 low priority user-defined-flow 13 low priority user-defined-flow 51 high priority user-defined-flow 52 low
Pour définir des alertes sur les poubelles, vous pouvez utiliser la fonction suivante:
cpu-defend policy 1 ... alarm drop-rate user-defined-flow 7 threshold 100 interval 60
ici, la valeur de seuil est définie en paquets et l'intervalle en secondes.
Des statistiques sur le fonctionnement des filtres CoPP peuvent ĂȘtre trouvĂ©es dans la section affichage cpu- defense ...
Une fois les réglages terminés, il vaut également la peine de scanner le routeur.
En conclusion, je tiens Ă noter que Huawei (comme tout fournisseur moderne) propose toutes les mĂ©thodes nĂ©cessaires pour protĂ©ger le plan de contrĂŽle de ses routeurs. Et des messages apparaissant pĂ©riodiquement sur les vulnĂ©rabilitĂ©s trouvĂ©es montrent que ces outils ne doivent pas ĂȘtre nĂ©gligĂ©s.