Configuração de SCTP
O protocolo de transmissão de controle de fluxo (SCTP) pode ser configurado para realizar uma inspeção stateful em todo o tráfego SCTP.
Visão geral da configuração do SCTP
Você deve configurar pelo menos um perfil de SCTP para permitir que o dispositivo de segurança realize uma inspeção stateful em todo o tráfego SCTP. A inspeção stateful do tráfego SCTP derrubará alguns pacotes SCTP anômalos.
O firewall SCTP oferece suporte a uma inspeção mais profunda dos perfis:
Filtragem de pacotes — a configuração de perfil de pacotes de queda para o protocolo especial de payload SCTP e o serviço M3UA permite a filtragem de pacotes.
Taxa de limite — controla a taxa de pacotes M3UA e SCCP por associação.
A inspeção mais profunda do SCTP requer as seguintes configurações:
Criação de um perfil SCTP
Configurar a filtragem e limitar parâmetros
Vinculando o perfil SCTP a uma política
Exemplo: configurar uma política de segurança para permitir ou negar tráfego SCTP
Este exemplo mostra como configurar uma política de segurança para permitir ou negar o tráfego SCTP.
Requisitos
Antes de começar:
Crie zonas. Veja exemplo: criação de zonas de segurança.
Configure um livro de endereços e crie endereços para uso na política. Veja exemplo: configuração de livros de endereços e conjuntos de endereços.
Crie um aplicativo (ou conjunto de aplicativos) que indique que a política se aplica ao tráfego desse tipo. Veja exemplo: configuração de aplicativos de políticas de segurança e conjuntos de aplicativos.
Configure um perfil de SCTP GPRS. Veja exemplo: configurar um perfil de SCTP GPRS para inspeção baseada em políticas para reduzir os riscos de segurança.
Visão geral
O firewall SCTP implementa um mecanismo de política que é usado administrativamente para determinar os pacotes que podem ser passados ou descartados. As políticas podem ser configuradas para vários endereços, grupos de endereços ou toda a zona.
Em situações em que apenas algumas portas são usadas para tráfego SCTP, as associações de SCTP não são distribuídas uniformemente para Unidades de Processamento de Serviços (SPUs). Isso ocorre nos seguintes casos:
Resultados de hash irregulares nos pares de portas da associação.
O número de pares de portas é menor do que, ou não, o número de SPUs.
Este exemplo de configuração mostra como:
Negue o tráfego SCTP da zona de confiança para o endereço IP 10.1.1.0/24 na zona não confiável.
Permita o tráfego SCTP de um endereço IP 10.1.2.0/24 na zona de confiança até a zona não confiável com a configuração de SCTP especificada no perfil roam2att.
A Figura 1 mostra a implementação do firewall SCTP.
de firewall SCTP
Configuração
Procedimento
Configuração rápida de CLI
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.
set security zones security-zone trust interfaces ge-0/0/2 set security zones security-zone untrust interfaces ge-0/0/1 set security policies from-zone trust to-zone untrust policy deny-all match source-address any set security policies policy from-zone trust to-zone untrust policy deny-all match destination-address 10.1.1.0/24 set security policies policy from-zone trust to-zone untrust policy deny-all match application junos-gprs-sctp set security policies from-zone trust to-zone untrust policy deny-all then deny set security policies from-zone trust to-zone untrust policy allow-att-roaming match source-address 10.1.2.0/24 set security policies from-zone trust to-zone untrust policy allow-att-roaming match destination-address any set security policies policy from-zone trust to-zone untrust policy allow-att-roaming match application junos-gprs-sctp set security policies from-zone trust to-zone untrust policy allow-att-roaming then permit application-services gprs-sctp-profile roam2att
Procedimento passo a passo
Configurar uma política de segurança para permitir ou negar o tráfego SCTP:
Configure as interfaces e as zonas de segurança.
[edit security zones] user@host# set security-zone trust interfaces ge-0/0/2 user@host# set security-zone untrust interfaces ge-0/0/1
Crie a política de segurança para permitir o tráfego da zona de confiança até a zona não confiável.
[edit security policies from-zone trust to-zone untrust] user@host# set policy allow-att-roaming match source-address 10.1.2.0/24 user@host# set policy allow-att-roaming match destination-address any user@host# set policy allow-att-roaming match application junos-gprs-sctp user@host# set policy allow-att-roaming then permit application-services gprs-sctp-profile roam2att
Crie a política de segurança para negar o tráfego da zona de confiança até a zona não confiável.
[edit security policies from-zone trust to-zone untrust] user@host# set policy deny-all match source-address any user@host# set policy deny-all match destination-address 10.1.1.0/24 user@host# set policy deny-all match application junos-gprs-sctp user@host# set policy deny-all then deny
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security policies comando. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy deny-all {
match {
source-address any;
destination-address 10.1.1.0/24;
application junos-gprs-sctp;
}
then {
deny;
}
}
policy allow-att-roaming {
match {
source-address 10.1.2.0/24;
destination-address any;
application junos-gprs-sctp;
}
then {
permit {
application-services {
gprs-sctp-profile roam2att;
}
}
}
}
}
Se terminar de configurar o dispositivo, entre no commit modo de configuração.
Exemplo: configurar um perfil de SCTP GPRS para inspeção baseada em políticas para reduzir os riscos de segurança
Na arquitetura GPRS, a causa fundamental das ameaças de segurança à rede de uma operadora é a falta de segurança inerente ao protocolo de tunelamento GPRS (GTP). Este exemplo mostra como configurar um perfil de SCTP GPRS para inspeção baseada em políticas para reduzir os riscos de segurança do GTP.
Requisitos
Antes de começar, entenda a hierarquia do GPRS SCTP e suas opções.
Visão geral
Neste exemplo, você configura um perfil de SCTP GPRS definindo o parâmetro de taxa de limite e o parâmetro de protocolo de carga para inspeção de SCTP. Se sua política incluir a opção nat-only , os endereços IP de carga são traduzidos, mas eles não são inspecionados.
Os comandos SCTP só podem ser aplicados à política configurada com um perfil SCTP.
Se você remover o perfil SCTP da política, os pacotes serão encaminhados sem nenhuma inspeção, e a lista de endereços IP na carga de pacotes não será traduzida, mesmo se o NAT estático relacionado estiver configurado.
Configuração
Procedimento
Configuração rápida de CLI
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.
set security gprs sctp profile roam2att limit rate address 10.1.1.0 sccp 100 set security gprs sctp profile roam2att limit rate address 10.1.1.0 ssp 10 set security gprs sctp profile roam2att limit rate address 10.1.1.0 sst 50 set security gprs sctp profile roam2att drop payload-protocol all set security gprs sctp profile roam2att permit payload-protocol dua
Procedimento passo a passo
Para configurar um perfil de SCTP GPRS:
Configure o parâmetro de taxa de limite.
A taxa limite é por associação.
[edit security gprs sctp profile roam2att] user@host# set limit rate address 10.1.1.0 sccp 100 user@host# set limit rate address 10.1.1.0 ssp 10 user@host# set limit rate address 10.1.1.0 sst 50
Configure o protocolo de carga para soltar todas as mensagens de carga SCTP.
[edit security gprs sctp profile roam2att] user@host# set drop payload-protocol all
Configure o protocolo de carga para permitir determinadas mensagens de carga SCTP.
[edit security gprs sctp profile roam2att] user@host# set permit payload-protocol dua
Resultados
A partir do modo de configuração, confirme sua configuração entrando no comando de segurança do show . Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
[edit]
user@host# show security gprs
sctp {
profile roam2att {
drop {
payload-protocol all;
}
permit {
payload-protocol dua;
}
limit {
rate {
address 10.1.1.0 {
sccp 100;
ssp 10;
sst 50;
}
}
}
}
}
Se terminar de configurar o dispositivo, entre em confirmação a partir do modo de configuração.
Verificação
Confirme se a configuração está funcionando corretamente.
Verificando a configuração do perfil do SCTP
Propósito
Verifique a configuração do perfil do SCTP.
Ação
A partir do modo de configuração, entre no comando roam2att de perfil de sctp de configuração de configuração do show .
user@host> show configuration security gprs sctp profile roam2att
drop {
payload-protocol all;
}
permit {
payload-protocol dua;
}
limit {
rate {
address 10.1.1.0 {
sccp 100;
ssp 10;
sst 50;
}
}
}
Significado
A saída exibe informações sobre as mensagens de carga SCTP permitidas e as mensagens de carga SCTP que são retiradas. Verifique as seguintes informações:
Mensagens de carga SCTP descartadas
Mensagens de carga SCTP permitidas