Surveillance du trafic X2
Cette rubrique traite de la surveillance du trafic X2 sur les pare-feu SRX Series.
Comprendre la surveillance du trafic X2
Dans un réseau mobile LTE, les pare-feu SRX Series agissent comme des passerelles sécurisées reliant les nœuds B évolués (eNodeB) pour le transfert du signal, la surveillance et la couverture radio. Les pare-feu SRX Series utilisent des tunnels IPsec pour connecter les eNodeB. Le trafic du plan utilisateur et du plan de contrôle qui circule d’un eNodeB à l’autre eNodeB est appelé trafic X2.
- Présentation de la surveillance du trafic X2
- Limites de la surveillance du trafic X2
- X2 Terminologie du trafic
Présentation de la surveillance du trafic X2
Le trafic X2 passant par les tunnels IPsec est chiffré. Pour cette raison, les opérateurs de réseaux mobiles doivent trouver un moyen de surveiller le trafic X2 afin de pouvoir déboguer les problèmes de transfert entre les eNodeB. L’implémentation de Junos OS permet de surveiller le trafic X2 en fouinant dans le trafic X2 en texte clair lorsqu’il traverse le pare-feu SRX Series, sortant d’un tunnel IPsec et entrant dans l’autre tunnel IPsec, une fois le trafic déchiffré et chiffré à nouveau.
La Figure 1 montre le flux de trafic X2 à l’intérieur du pare-feu SRX Series. Lorsque le trafic atteint le pare-feu SRX Series sur une interface st0.x, il est déchiffré. Ensuite, il est chiffré et transmis à l’eNodeB de destination via son interface st0.y dédiée. L’espionnage est effectué sur le trafic X2 déchiffré sur le pare-feu SRX Series.
mobile LTE
La figure 2 illustre le réseau d’un opérateur mobile équipé d’un pare-feu SRX Series assurant une connexion tunnel IPsec entre les deux eNodeB. Le pare-feu SRX Series est connecté à un outil d’analyse des paquets (également appelé sniffing équipement) qui est utilisé pour collecter et surveiller le trafic X2. Le tunnel IPsec de chaque eNodeB se termine par une interface de tunnel sécurisée dédiée sur le pare-feu SRX Series. Le trafic entrant sortant du tunnel IPsec est déchiffré, tandis que le trafic sortant sortant de l’équipement est chiffré.
X2
Pour surveiller le trafic X2, vous pouvez configurer jusqu’à 15 filtres de miroir différents qui spécifient des ensembles uniques de paramètres auxquels le trafic est apparié. Les paquets filtrés sont dupliqués et envoyés à une interface physique. Pour permettre à l’outil d’analyse des paquets de capturer les paquets filtrés, spécifiez l’interface de sortie sur le pare-feu SRX Series et l’adresse MAC de l’outil d’analyse des paquets. Étant donné que l’interface de sortie est connectée au même réseau de couche 2 que l’outil d’analyse des paquets, une fois le filtrage en miroir activé, l’outil d’analyse des paquets peut collecter et analyser le trafic X2.
La fonction de filtre miroir de la SRX Series est bidirectionnelle, un peu comme une session. Le trafic X2 transitant par un VPN IPSec correspondant à un filtre miroir est mis en miroir et analysé. Le trafic provenant de ces appareils est également mis en miroir et analysé.
À partir de Junos OS version 18.4R1, si l’interface X2 de sortie d’un filtre miroir est configurée pour une interface st0 afin de filtrer le trafic que vous souhaitez analyser, le paquet est dupliqué et chiffré par le tunnel IPsec lié à l’interface st0. Cette amélioration permet aux pare-feu SRX Series d’envoyer du trafic en miroir à partir d’un port d’un tunnel IPsec. Le trafic en miroir inclut les en-têtes de couche 3 non modifiés.
Bien qu’il n’y ait pas de nombre minimum de paramètres requis pour un filtre miroir, n’oubliez pas que si vous spécifiez trop peu de critères ou si vous validez accidentellement un filtre incomplet, une quantité trop proportionnelle de flux de trafic à travers le système peut être mise en miroir.
Limites de la surveillance du trafic X2
-
Pour le trafic X2 dans une configuration de cluster de châssis, les paquets mis en miroir ne peuvent pas traverser la liaison de données (interface de structure).
-
La prise en charge de la mise en miroir du trafic X2 n’est pas disponible lorsque PowerMode IPsec (PMI) est activé. Si PMI est activé dans un sens mais désactivé dans l’autre, vous pouvez capturer la mise en miroir du trafic X2 uniquement pour la direction dans laquelle PMI n’est pas actif.
X2 Terminologie du trafic
Le Tableau 1 répertorie certains termes liés au trafic X2 et leurs descriptions.
Terme |
Description |
|---|---|
Evolved Packet Core (EPC) |
Composant principal de l’évolution de l’architecture système (SAE) et est également connu sous le nom de cœur SAE. L’EPC prend en charge le réseau IP et sert d’équivalent à un réseau GPRS (General Packet Radio Service), en utilisant les sous-composants de l’entité de gestion de la mobilité (MME), de la passerelle de service (SGW) et de la passerelle de réseau de données par paquets (PGW). |
Réseau universel d’accès radio terrestre évolué (E-UTRAN) |
Une norme de réseau d’accès radio. L’E-UTRAN est un nouveau système d’interface air. Il fournit des débits de données plus élevés et une latence plus faible et est optimisé pour les données de paquets. Elle utilise l’accès multiple par répartition de fréquences orthogonales (OFDMA) pour la liaison descendante et l’accès multiple par répartition de fréquences à porteuse unique pour la liaison montante. |
Nœud évolué B (eNodeB) |
Appareil connecté au réseau de téléphonie mobile qui communique directement avec les combinés mobiles, comme un émetteur-récepteur de base dans les réseaux GSM (Global System for Mobile Communications). Un eNodeB est contrôlé par un contrôleur de réseau radio (RNC). |
Évolution à long terme (LTE) |
Une norme pour la communication sans fil de données à haut débit pour les téléphones mobiles et les terminaux de données. Il augmente la capacité et la vitesse à l’aide d’une interface radio différente et apporte des améliorations au réseau central. |
Interface X2 |
Une interface logique point à point entre deux eNodeB avec l’E-UTRAN. Il prend en charge l’échange d’informations de signalisation entre deux eNodeB et prend en charge le transfert d’unités de données de protocole (PDU) vers les points de terminaison de tunnel respectifs. |
Protocole d’application X2 (X2AP) |
Protocole utilisé par l’interface X2. Il est utilisé pour gérer la mobilité de l’équipement de l’utilisateur au sein de l’E-UTRAN et fournit les fonctions suivantes :
|
Exemple : Configuration d’un filtre miroir pour la surveillance du trafic X2
Cet exemple montre comment configurer un filtre miroir pour surveiller le trafic X2 entre deux eNodeB dans un réseau mobile LTE.
Exigences
Avant de commencer :
Comprendre la surveillance du trafic X2. .
Configurez les interfaces, les zones de sécurité, les stratégies de sécurité et les tunnels VPN basés sur le routage pour permettre le transfert sécurisé des données entre le pare-feu SRX Series et les deux eNodeB.
Aperçu
En tant qu’opérateur réseau, vous devez disposer d’un moyen de surveiller le trafic X2 pour déboguer tout problème de transfert entre les eNodeB. La fonction de filtre miroir vous permet de le faire. Le trafic sortant d’un tunnel IPsec est déchiffré, mis en miroir et analysé, puis chiffré à nouveau pour être redirigé vers le tunnel IPsec sortant.
Plus précisément, le trafic qui correspond à un filtre miroir est mis en miroir et envoyé à une interface de sortie connectée à un outil d’analyse des paquets (également appelé sniffing périphérique). L’outil d’analyse des paquets analyse le trafic X2 et vous permet de le surveiller. Ensuite, le trafic est à nouveau chiffré avant d’être envoyé au tunnel IPsec sortant.
La fonction de filtre miroir de la SRX Series est bidirectionnelle, un peu comme une session. Le trafic X2 transitant par un VPN IPSec correspondant à un filtre miroir est mis en miroir et analysé. Le trafic provenant de ces appareils est également mis en miroir et analysé.
Pour utiliser la fonction de filtre miroir afin de surveiller le trafic X2, vous devez configurer des filtres miroir. Vous pouvez configurer jusqu’à 15 filtres miroir différents à utiliser simultanément pour filtrer différents types de trafic. Chaque filtre miroir contient un ensemble de paramètres et leurs valeurs auxquels le trafic est apparié.
Bien qu’il n’y ait pas de nombre minimum de paramètres requis pour un filtre miroir, n’oubliez pas que si vous spécifiez trop peu de critères ou si vous validez accidentellement un filtre incomplet, une quantité trop proportionnelle de flux de trafic à travers le système peut être mise en miroir.
Un filtre miroir peut contenir tout ou partie des paramètres suivants pour filtrer le trafic :
Préfixe de l’adresse IP de destination
port de destination
Protocole IP
préfixe de l’adresse IP source
port source
Interfaces entrantes et sortantes
Vous spécifiez également l’interface de sortie et l’adresse MAC de l’outil d’analyse des paquets dans le cadre de la configuration.
Dans cet exemple, un pare-feu SRX Series utilise des tunnels IPsec pour connecter deux eNodeB dans un réseau mobile LTE. L’exemple configure un filtre miroir appelé traffic-https.
La figure 3 montre la connexion du pare-feu SRX Series aux eNodeB à l’aide de tunnels IPsec. Le pare-feu SRX Series est également connecté à un outil d’analyse des paquets.
du trafic X2
Dans cet exemple, tout le trafic HTTPS est analysé dont la destination est vers les périphériques dont les adresses IP ont le préfixe 203.0.113.0/24 et pour lesquels le port de destination 443 est utilisé, le port par défaut pour le trafic HTTPS. Les paquets qui correspondent au filtre trafic-https sont mis en miroir et envoyés via l’interface de sortie ge-0/0/5 à l’outil d’analyse des paquets avec l’adresse MAC 00:50:56:87:20:5E. Le trafic renvoyé par ces appareils est également surveillé.
L’interface de sortie pour le filtre miroir est celle de l’outil d’analyse des paquets, c’est pourquoi le protocole HTTP est utilisé.
L’interface de sortie de l’outil d’analyse des paquets utilise le protocole HTTP.
Configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security forwarding-options mirror-filter traffic-https set security forwarding-options mirror-filter traffic-https destination-port 443 set security forwarding-options mirror-filter traffic-https destination-prefix 203.0.113.0/24 set security forwarding-options mirror-filter traffic-https protocol 6 set security forwarding-options mirror-filter traffic-http output interface ge-0/0/5 set security forwarding-options mirror-filter traffic-http output destination-mac 00:50:56:87:20:5E
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de l’interface de ligne de commande.
Pour configurer un filtre miroir pour surveiller le trafic X2 :
Créez un filtre miroir appelé traffic-https.
[edit] user@host# edit security forwarding-options mirror-filter traffic-https
Spécifiez les paramètres de filtre miroir auxquels le trafic est apparié.
[edit security forwarding-options mirror-filter traffic-https] user@host# set destination-port 443 user@host# set destination-prefix 203.0.113.0/24 user@host# set protocol 6
Spécifiez l’interface de sortie des paquets en miroir à envoyer à l’outil d’analyse des paquets.
[edit security forwarding-options mirror-filter traffic-https] user@host# set output interface ge-0/0/5
Spécifiez l’adresse MAC de l’outil d’analyse des paquets comme destination pour tous les paquets mis en miroir, c’est-à-dire les paquets qui correspondent aux filtres en miroir.
[edit security forwarding-options mirror-filter traffic-https] user@host# set output destination-mac 00:50:56:87:20:5E
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security forwarding-options commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
user@host# show security forwarding-options
mirror-filter traffic-https {
protocol 6;
destination-port 443;
destination-prefix 203.0.113.0/24;
output {
interface ge-0/0/5;
destination-mac 00:50:56:87:20:5E;
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
Vérification de l’état du filtre miroir
But
Vérifiez que le filtre miroir est actif ou non.
Action
À partir du mode opérationnel, entrez la show security forward-options mirror-filter commande correspondant au filtre miroir spécifique.
user@host> show security forward-options mirror-filter traffic-https
Security mirror status
mirror-filter-name: traffic-https
protocol: 6
destination-port: 443
destination-prefix 203.0.113.0/24
filter-counters: 2
output-counters: 2
Signification
La sortie fournit l’état du filtre miroir. Il montre qu’un filtre miroir appelé traffic-https est actif. Le filtre miroir traffic-https spécifie le protocole, le préfixe de destination et le port de destination auxquels le trafic doit correspondre pour être mis en miroir et analysé.
Cette sortie montre que deux paquets ont été mis en miroir.