Artikel ini membahas aspek-aspek perlindungan dari bidang kontrol dari router Huawei NE Series. Contoh diberikan untuk NE40e, dengan perangkat lunak: VRP V800R008. Pada jenis router lain (mis. NE5k) dan dengan versi perangkat lunak yang berbeda, konfigurasinya mungkin sedikit berbeda.
Untuk studi yang lebih rinci tentang masalah ini, saya juga dapat membiasakan diri dengan RFC 6192 (Melindungi Pesawat Kontrol router).
Dalam VRP, ada sejumlah cara untuk secara otomatis mendiagnosis dan melindungi bidang kontrol router. Namun, mengingat kelangkaan dan opacity dari dokumentasi, saya sarankan Anda tetap mematuhi metode perlindungan tradisional: membuat daftar putih untuk protokol dan layanan yang diperlukan dan menutup sisa lalu lintas.
Bagian kebijakan utama adalah sebagai berikut:
cpu-defend policy 1 process-sequence whitelist user-defined-flow blacklist cp-acl ip-pool enable whitelist disable blacklist acl 3900 blacklist ipv6 acl 3950 application-apperceive disable ip urpf loose
urutan-proses menentukan urutan kebijakan: daftar putih (yang dimatikan dalam kasus kami), aliran yang ditentukan pengguna, daftar hitam (aturan 3900 untuk IPv4 dan 3950 untuk IPv6).
Menimbang bahwa kita akan menentukan sendiri protokol yang diizinkan, sisa lalu lintas akan disaring oleh daftar hitam - tidak perlu untuk analisis aplikasi-apperceive .
Mekanisme URPf (Unicast Reverse Path Forwarding) dihidupkan pada tingkat longgar konservatif.
Daftar hitam untuk IPv4 dan IPv6 adalah sebagai berikut:
acl number 3900 description --- ACL For IPv4 Discard --- rule 5 deny tcp rule 10 deny udp rule 15 deny ip # acl ipv6 number 3950 description --- ACL For IPv6 Discard --- rule 5 deny tcp rule 10 deny udp rule 15 deny ipv6
Kebijakan harus diterapkan pada setiap slot:
slot 1 cpu-defend-policy 1 # slot 2 cpu-defend-policy 1 โฆ
Secara default, mekanisme perlindungan berikut ini diaktifkan:
udp-packet-defend enable fragment-flood enable abnormal-packet-defend enable tcpsyn-flood enable attack-source-trace enable
Disarankan agar Anda menutup semua protokol dan layanan yang tidak digunakan di bagian pertahanan . Opsi ini dapat diaktifkan baik secara global maupun dengan slot. Sebagai contoh:
system-view ma-defend global-policy protocol OSPF deny protocol RIP deny
atau
system-view ma-defend slot-policy 1 protocol โฆ deny
Berikut ini menjelaskan kebijakan yang ditentukan pengguna . Aturan umum dirangkum dalam tabel di bawah ini. Nilai untuk kecepatan / prioritas ditunjukkan, sebagai contoh, dan tidak mengklaim sebagai "kebenaran tertinggi". Jumlah maksimum elemen dalam kebijakan yang ditentukan pengguna adalah 64.
| Jenis lalu lintas | Kecepatan | Prioritas | Nomor aturan |
|---|
| BGP | 1 Mb / s | Tinggi | 3901 |
| Ldp | 1 Mb / s | Tinggi | 3902 |
| IS-IS | N \ a | N \ a | N \ a |
| VRRP | 1 Mb / s | Tinggi | 3904 |
| Bfd | 1 Mb / s | Tinggi | 3905 |
| Mcast | 1 Mb / s | Tinggi | 3906 |
| Ssh | 512 Kb / s | Tengah | 3907 |
| FTP | 5 Mb / s | Rendah | 3908 |
| DNS | 512 Kb / s | Rendah | 3909 |
| SNMP | 1 Mb / s | Tengah | 3910 |
| TACACS + | 1 Mb / s | Rendah | 3911 |
| NTP | 512 Kb / s | Rendah | 3912 |
| ICMP, lacak, lsp-ping | 512 Kb / s | Rendah | 3913 |
Selanjutnya, pertimbangkan filter ACL untuk masing-masing protokol / layanan.
3901. Protokol BGP.
Aturan untuk memfilter BGP dapat terlihat dalam bentuk yang disederhanakan:
acl number 3901 rule permit tcp destination-port eq bgp rule permit tcp source-port eq bgp
atau, untuk setiap pesta secara terpisah:
acl ip-pool BGP-Peers ip address 10.1.1.1 0.0.0.0 acl number 3901 rule permit tcp source-pool BGP-Peers 0 destination-port eq bgp rule permit tcp source-pool BGP-Peers 0 source-port eq bgp
3902. Protokol LDP.
rule 5 permit tcp source-pool Lo0_P2P destination-port eq 646 rule 10 permit tcp source-pool Lo0_P2P source-port eq 646 rule 15 permit udp source-pool Lo0_P2P destination-port eq 646 rule 20 permit udp source-pool Lo0_P2P source-port eq 646
3904. VRRP
acl ip-pool VRRP_Peers ip address 10.1.1.1 0.0.0.0 acl number 3904 rule permit 112 source-pool VRRP_Peers
3905. BFD
acl number 3343 rule permit udp source-pool Lo0_P2P destination-port eq 3784 rule permit udp source-pool Lo0_P2P source-port eq 3784
3906. Semua MCAST (IGMP, PIM, MSDP)
acl number 3906 rule permit 103 rule permit igmp rule permit udp destination-port eq 639 rule permit udp source-port eq 639 rule permit tcp destination-port eq 639 rule permit tcp source-port eq 639
3907. SSH
acl number 3907 description ### SSH access ### rule 5 permit tcp source-pool MGMT source-port eq 22 rule 10 permit tcp source-pool MGMT destination-port eq 22 rule 15 permit tcp source-pool MGMT destination-port eq 830
3908. FTP. Data FTP
acl port-pool ftp eq 20 eq 21 acl number 3908 rule 10 permit tcp source-pool MGMT source-port-pool ftp rule 15 permit tcp source-pool MGMT destination-port-pool ftp
3909. DNS
acl ip-pool DNS ip address 1.1.1.1 0.0.0.0 ip address 8.8.8.8 0.0.0.0 acl number 3909 rule 5 permit udp source-pool DNS source-port eq dns
3910. SNMP
acl number 3909 rule 5 permit udp source-pool SNMP source-port eq snmp rule 10 permit udp source-pool SNMP destination-port eq snmp
3911. TACACS +
acl number 3911 rule 5 permit tcp source-pool TACACS source-port eq tacacs rule 10 permit udp source-pool TACACS source-port eq tacacs-ds
3912. NTP
acl number 3911 rule 5 permit udp source-pool NTP source-port eq ntp rule 10 permit udp source-pool NTP destination-port eq ntp
3913. ICMP
acl number 3342 rule permit icmp icmp-type echo rule permit icmp icmp-type echo-reply rule permit icmp icmp-type ttl-exceeded rule permit icmp icmp-type port-unreachable rule permit icmp icmp-type Fragmentneed-DFset rule permit icmp rule permit udp destination-port range 33434 33678 rule permit udp destination-port eq 3503
3951. BGP untuk IPv6
acl ipv6 number 3951 rule 5 permit tcp destination-port eq bgp
3952. ICMPv6
acl ipv6 number 3952 rule 30 permit icmpv6 rule 35 permit udp destination-port range 33434 33678
Untuk menggunakan sheet, Anda harus mengikatnya dengan kebijakan cpu-membela sebagai berikut:
cpu-defend policy 1 ... user-defined-flow 1 acl 3901 user-defined-flow 2 acl 3902 user-defined-flow 4 acl 3904 user-defined-flow 5 acl 3905 user-defined-flow 6 acl 3906 user-defined-flow 7 acl 3907 user-defined-flow 8 acl 3908 user-defined-flow 9 acl 3909 user-defined-flow 10 acl 3910 user-defined-flow 11 acl 3911 user-defined-flow 12 acl 3912 user-defined-flow 13 acl 3913 user-defined-flow 51 ipv6 acl 3951 user-defined-flow 52 ipv6 acl 3952 car blacklist cir 0 cbs 0 car user-defined-flow 1 cir 1000 car user-defined-flow 2 cir 1000 car user-defined-flow 4 cir 1000 car user-defined-flow 5 cir 1000 car user-defined-flow 6 cir 1000 car user-defined-flow 7 cir 512 car user-defined-flow 8 cir 5000 car user-defined-flow 9 cir 512 car user-defined-flow 10 cir 1000 car user-defined-flow 11 cir 1000 car user-defined-flow 12 cir 512 car user-defined-flow 13 cir 512 car user-defined-flow 51 cir 10000 car user-defined-flow 52 cir 512 priority user-defined-flow 1 high priority user-defined-flow 2 high priority user-defined-flow 4 high priority user-defined-flow 5 high priority user-defined-flow 6 high priority user-defined-flow 7 middle priority user-defined-flow 8 low priority user-defined-flow 9 low priority user-defined-flow 10 middle priority user-defined-flow 11 low priority user-defined-flow 12 low priority user-defined-flow 13 low priority user-defined-flow 51 high priority user-defined-flow 52 low
Untuk mengatur peringatan di tempat sampah, Anda dapat menggunakan fungsi berikut:
cpu-defend policy 1 ... alarm drop-rate user-defined-flow 7 threshold 100 interval 60
di sini nilai ambang diatur dalam paket, dan intervalnya dalam detik.
Statistik tentang pengoperasian filter CoPP dapat ditemukan di bagian tampilan cpu- def ...
Setelah menyelesaikan pengaturan, ada baiknya memindai router.
Sebagai kesimpulan, saya ingin mencatat bahwa Huawei (seperti vendor modern) menawarkan semua metode yang diperlukan untuk melindungi bidang kontrol dari router-nya. Dan secara berkala muncul pesan tentang kerentanan yang ditemukan menunjukkan bahwa alat ini tidak boleh diabaikan.