SCTP Configuration
Le protocole SCTP (Stream Control Transmission Protocol) peut être configuré pour effectuer une inspection dynamique sur tout le trafic SCTP.
Présentation de la configuration SCTP
Vous devez configurer au moins un profil SCTP pour permettre à l’équipement de sécurité d’effectuer une inspection dynamique sur tout le trafic SCTP. L’inspection dynamique du trafic SCTP laissera tomber certains paquets SCTP anormaux.
Le pare-feu SCTP permet une inspection plus approfondie des profils :
Filtrage des paquets : la configuration de profil des paquets de dépose pour le protocole de charge utile SCTP spécial et le service M3UA permet de filtrer les paquets.
Débit limite : contrôle le débit de paquets M3UA et SCCP par association.
L’inspection approfondie du SCTP nécessite les paramètres suivants :
Création d’un profil SCTP
Configuration des paramètres de filtrage et de limitation
Liaison du profil SCTP à une stratégie
Exemple : configuration d’une stratégie de sécurité pour autoriser ou refuser le trafic SCTP
Cet exemple montre comment configurer une stratégie de sécurité pour autoriser ou refuser le trafic SCTP.
Exigences
Avant de commencer :
Créez des zones. Voir l’exemple : création de zones de sécurité.
Configurez un carnet d’adresses et créez des adresses à utiliser dans la stratégie. Voir l’exemple : configuration des carnets d’adresses et des ensembles d’adresses.
Créez une application (ou un ensemble d’applications) qui indique que la stratégie s’applique au trafic de ce type. Voir l’exemple : configuration des applications et des ensembles d’applications de stratégie de sécurité.
Configurez un profil GPRS SCTP. Voir l’exemple : configuration d’un profil GPRS SCTP pour une inspection basée sur des stratégies afin de réduire les risques de sécurité.
Aperçu
Le pare-feu SCTP implémente un mécanisme de stratégie qui est utilisé administrativement pour déterminer les paquets qui peuvent être transmis ou supprimés. Les stratégies peuvent être configurées pour plusieurs adresses, groupes d’adresses ou toute la zone.
Dans les situations où seuls quelques ports sont utilisés pour le trafic SCTP, les associations SCTP ne sont pas distribuées uniformément aux unités de traitement des services (SPU). Cela se produit dans les cas suivants :
Résultats de hachage irréguliers sur les paires de ports d’association.
Le nombre de paires de ports est inférieur ou peu supérieur au nombre de SPU.
Cet exemple de configuration montre comment :
Refuser le trafic SCTP de la zone de confiance à l’adresse IP 10.1.1.0/24 dans la zone de confiance.
Autorisez le trafic SCTP d’une adresse IP 10.1.2.0/24 dans la zone de confiance vers la zone de non confiance avec la configuration SCTP spécifiée dans le profil roam2att.
La figure 1 montre l’implémentation du pare-feu SCTP.
du pare-feu SCTP
Configuration
Procédure
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.
set security zones security-zone trust interfaces ge-0/0/2 set security zones security-zone untrust interfaces ge-0/0/1 set security policies from-zone trust to-zone untrust policy deny-all match source-address any set security policies policy from-zone trust to-zone untrust policy deny-all match destination-address 10.1.1.0/24 set security policies policy from-zone trust to-zone untrust policy deny-all match application junos-gprs-sctp set security policies from-zone trust to-zone untrust policy deny-all then deny set security policies from-zone trust to-zone untrust policy allow-att-roaming match source-address 10.1.2.0/24 set security policies from-zone trust to-zone untrust policy allow-att-roaming match destination-address any set security policies policy from-zone trust to-zone untrust policy allow-att-roaming match application junos-gprs-sctp set security policies from-zone trust to-zone untrust policy allow-att-roaming then permit application-services gprs-sctp-profile roam2att
Procédure étape par étape
Pour configurer une stratégie de sécurité afin d’autoriser ou de refuser le trafic SCTP :
Configurez les interfaces et les zones de sécurité.
[edit security zones] user@host# set security-zone trust interfaces ge-0/0/2 user@host# set security-zone untrust interfaces ge-0/0/1
Créez la stratégie de sécurité pour autoriser le trafic de la zone de confiance à la zone de non confiance.
[edit security policies from-zone trust to-zone untrust] user@host# set policy allow-att-roaming match source-address 10.1.2.0/24 user@host# set policy allow-att-roaming match destination-address any user@host# set policy allow-att-roaming match application junos-gprs-sctp user@host# set policy allow-att-roaming then permit application-services gprs-sctp-profile roam2att
Créez la stratégie de sécurité pour refuser le trafic de la zone de confiance à la zone de non confiance.
[edit security policies from-zone trust to-zone untrust] user@host# set policy deny-all match source-address any user@host# set policy deny-all match destination-address 10.1.1.0/24 user@host# set policy deny-all match application junos-gprs-sctp user@host# set policy deny-all then deny
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security policies commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy deny-all {
match {
source-address any;
destination-address 10.1.1.0/24;
application junos-gprs-sctp;
}
then {
deny;
}
}
policy allow-att-roaming {
match {
source-address 10.1.2.0/24;
destination-address any;
application junos-gprs-sctp;
}
then {
permit {
application-services {
gprs-sctp-profile roam2att;
}
}
}
}
}
Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.
Exemple : configuration d’un profil GPRS SCTP pour une inspection basée sur des stratégies afin de réduire les risques de sécurité
Dans l’architecture GPRS, la cause fondamentale des menaces de sécurité pour le réseau d’un opérateur est le manque de sécurité inhérent au protocole de tunnelisation GPRS (GTP). Cet exemple montre comment configurer un profil GPRS SCTP pour une inspection basée sur des stratégies afin de réduire les risques de sécurité du GTP.
Exigences
Avant de commencer, comprenez la hiérarchie GPRS SCTP et ses options.
Aperçu
Dans cet exemple, vous configurez un profil GPRS SCTP en définissant le paramètre de débit limite et le paramètre de protocole de charge utile pour l’inspection SCTP. Si votre stratégie inclut l’option nat-only , les adresses IP des charges utiles sont traduites, mais elles ne sont pas inspectées.
Les commandes SCTP ne peuvent être appliquées qu’à la stratégie configurée avec un profil SCTP.
Si vous supprimez le profil SCTP de la stratégie, les paquets sont transférés sans aucune inspection, et la liste d’adresses IP dans la charge utile du paquet ne sera pas traduite, même si le NAT statique associé est configuré.
Configuration
Procédure
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.
set security gprs sctp profile roam2att limit rate address 10.1.1.0 sccp 100 set security gprs sctp profile roam2att limit rate address 10.1.1.0 ssp 10 set security gprs sctp profile roam2att limit rate address 10.1.1.0 sst 50 set security gprs sctp profile roam2att drop payload-protocol all set security gprs sctp profile roam2att permit payload-protocol dua
Procédure étape par étape
Pour configurer un profil GPRS SCTP :
Configurez le paramètre de débit limite.
Le taux limite est par association.
[edit security gprs sctp profile roam2att] user@host# set limit rate address 10.1.1.0 sccp 100 user@host# set limit rate address 10.1.1.0 ssp 10 user@host# set limit rate address 10.1.1.0 sst 50
Configurez le protocole de charge utile pour qu’il abandonne tous les messages de charge utile SCTP.
[edit security gprs sctp profile roam2att] user@host# set drop payload-protocol all
Configurez le protocole de charge utile pour autoriser certains messages de charge utile SCTP.
[edit security gprs sctp profile roam2att] user@host# set permit payload-protocol dua
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant la commande show security gprs . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
[edit]
user@host# show security gprs
sctp {
profile roam2att {
drop {
payload-protocol all;
}
permit {
payload-protocol dua;
}
limit {
rate {
address 10.1.1.0 {
sccp 100;
ssp 10;
sst 50;
}
}
}
}
}
Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
Vérification de la configuration du profil SCTP
But
Vérifiez la configuration du profil SCTP.
Action
À partir du mode de configuration, saisissez la commande show configuration security gprs sctp profile roam2att .
user@host> show configuration security gprs sctp profile roam2att
drop {
payload-protocol all;
}
permit {
payload-protocol dua;
}
limit {
rate {
address 10.1.1.0 {
sccp 100;
ssp 10;
sst 50;
}
}
}
Sens
La sortie affiche des informations sur les messages de charge utile SCTP autorisés et les messages de charge utile SCTP qui sont supprimés. Vérifiez les informations suivantes :
Messages de charge utile SCTP abandonnés
Messages utiles SCTP autorisés