RPF unicast dans les profils dynamiques des interfaces abonnés
RPF unicast dans les profils dynamiques des interfaces abonnés
Le RPF (Reverse-Path Forwarding) unicast permet de réduire l’effet des attaques par déni de service (DoS) et par déni de service distribué (DDoS) sur les interfaces IPv4 et IPv6. Lorsque vous configurez RPF unicast sur une interface, il vérifie l’adresse source du paquet. Les paquets qui passent la vérification sont transférés. Les paquets qui échouent à la vérification sont abandonnés ou, si un filtre échoue, sont transmis au filtre pour une évaluation plus approfondie.
Le RPF unicast a deux modes comportementaux, strict et lâche. Lorsque vous configurez RPF unicast dans un profil dynamique, le mode strict est la valeur par défaut. En mode strict, unicast RPF vérifie si l’adresse source du paquet entrant correspond à un préfixe dans le table de routage, et si l’interface s’attend à recevoir un paquet avec ce préfixe d’adresse source. En mode libre, RPF unicast vérifie uniquement si l’adresse source a une correspondance dans la table de routage. Il ne vérifie pas si l’interface s’attend à recevoir un paquet d’une adresse source spécifique.
Pour les deux modes, lorsqu’un paquet entrant échoue à la vérification RPF unicast, le paquet n’est pas accepté sur l’interface. Au lieu de cela, RPF unicast compte le paquet et l’envoie à un filtre d’échec facultatif, s’il existe. Le filtre d’échec détermine les actions ultérieures à entreprendre sur le paquet. En l’absence de filtre d’échec, le paquet est ignoré en silence.
- Le compteur de paquets n’est pas pris en charge sur Junos OS Evolved.
- Sur Junos OS Evolved, vous n’avez pas besoin d’un filtre de défaillance, car le système empêche la perte de paquets BOOTP (Bootstrap Protocol) et DHCP (Dynamic Host Configuration Protocol) pendant la vérification RPF.
La show interfaces statistics logical-interface-name detail commande affiche unicast statistiques RPF pour les interfaces logiques dynamiques lorsque l’un rpf-check ou rpf-check mode loose est activé sur l’interface. Aucune statistique supplémentaire n’est affichée lorsqu’il rpf-check fail-filter filter-name est configuré sur l’interface. La clear interfaces statistics logical-interface-name commande efface les statistiques RPF.
Configuration de RPF unicast dans les profils dynamiques pour les interfaces abonné
Le RPF unicast permet de réduire l’effet des attaques par déni de service sur les interfaces IPv4 et IPv6 en vérifiant l’adresse IP source par rapport à la table de routage. Les paquets qui ne correspondent pas sont ignorés en silence, sauf si un filtre d’échec facultatif est configuré. Le filtre d’échec effectue une vérification supplémentaire et ordonne une action sur certains paquets. Les actions typiques consistent à journaliser les paquets ou à les transmettre même s’ils ont échoué à la vérification RPF.
Bien que le filtre d’échec soit techniquement facultatif, pour les profils dynamiques dans un environnement DHCP, vous devez configurer un filtre pour transmettre les paquets DHCP. Par défaut, la vérification RPF empêche l’acceptation des paquets DHCP sur les interfaces protégées par la vérification RPF. Le filtre d’échec identifie les paquets DHCP et les transmet.
Pour configurer un unicast RPF, vérifiez dans un profil dynamique :
Configuration d’un filtre d’échec pour RPF unicast dans les profils dynamiques pour les interfaces abonnés
Cette rubrique décrit comment configurer un filtre d’échec au niveau de la [edit firewall] hiérarchie qui peut éventuellement être appliqué par RPF unicast pour les interfaces d’abonné dans les profils dynamiques sur les routeurs MX Series.
Contrairement aux filtres d’échec configurés statiquement, les filtres d’échec de vérification RPF utilisés dans un profil dynamique ne peuvent pas être spécifiques à une interface particulière.
Pour configurer un filtre d’échec de pare-feu :
Exemple : configuration de RPF unicast dans un profil dynamique sur des routeurs MX Series
Cet exemple montre comment aider à défendre les interfaces entrantes du routeur contre les attaques par déni de service (DoS) et par déni de service distribué (DDoS) en configurant le transfert par chemin inverse (RPF) unicast sur une interface de périphérie client pour filtrer le trafic entrant. Le RPF unicast vérifie l’adresse source unicast de chaque paquet qui arrive sur une interface entrante où unicast RPF est activé. Les paquets qui échouent à la vérification sont ignorés silencieusement, sauf si un filtre d’échec effectue une autre action sur eux.
Exigences
Cet exemple utilise les composants logiciels et matériels suivants :
une plate-forme de routage universelle MX Series 5G
Avant de commencer :
Configurez le profil dynamique que vous avez l’intention d’utiliser pour appliquer la vérification RPF.
Vue d’ensemble
De grandes quantités de trafic non autorisé, telles que les tentatives d’inonder un réseau de fausses demandes de service dans le cadre d’une attaque par déni de service (DoS), peuvent consommer des ressources réseau et refuser le service aux utilisateurs légitimes. Une façon de prévenir les attaques DoS et par déni de service distribué (DDoS) consiste à vérifier que le trafic entrant provient de sources réseau légitimes.
Le RPF unicast permet de s’assurer qu’une source de trafic est légitime (autorisée) en comparant l’adresse source de chaque paquet qui arrive sur une interface à l’entrée de la table de transfert de son adresse source. Si le routeur utilise la même interface que celle sur laquelle le paquet est arrivé pour répondre à la source du paquet, cela vérifie que le paquet provient d'une source autorisée et le routeur transfère le paquet. Si le routeur n'utilise pas la même interface que celle sur laquelle le paquet est arrivé pour répondre à la source du paquet, le paquet peut provenir d'une source non autorisée et le routeur rejette le paquet ou le transmet à un filtre d'échec.
Le filtre d’échec vous permet de définir des critères pour les paquets que vous souhaitez transmettre malgré l’échec de la vérification RPF, tels que les paquets DHCP, qui sont supprimés par défaut.
Sur les routeurs MX Series, vous pouvez configurer RPF unicast dans un profil dynamique pour appliquer la configuration à une ou plusieurs interfaces d’abonné. Voir Comprendre les RPF unicast (routeurs) pour plus d’informations sur le comportement et les limites de unicast RPF sur MX Series routeurs.
Dans cet exemple, vous configurez le routeur pour qu’il se protège contre les attaques DoS et DDoS potentielles d’Internet perpétrées par le biais de paquets IPv4 arrivant sur des interfaces VLAN demux créées dynamiquement. Le profil dynamique, vlan-demux-prof, établit que les interfaces de multiplexage VLAN sont automatiquement créées pour les abonnés. Le RPF unicast est activé sur les interfaces dynamiques par le terme rpf-check.
Par défaut, unicast RPF empêche l’acceptation des paquets DHCP (Dynamic Host Configuration Protocol) sur les interfaces auxquelles il s’applique. Lorsque les paquets DHCP sont ignorés, aucun nouvel abonné ne peut être créé par le profil dynamique. Pour permettre aux interfaces d’accepter les paquets DHCP, vous devez appliquer un filtre d’échec qui trie correctement les paquets qui échouent à la vérification et identifie les paquets DHCP. Dans cet exemple, vous configurez le allow-dhcp terme dans le filtre rpf-pass-dhcp. Ce terme correspond, compte et accepte les paquets IPv4 destinés au port DHCP et à toute adresse. Le default term abandonne tous les autres paquets qui échouent à la vérification RPF.
Cet exemple ne montre pas tous les choix de configuration possibles.
Topologie
La configuration
Pour activer unicast RPF avec un filtre d’échec dans un profil dynamique, effectuez les tâches suivantes :
- Configuration du profil dynamique pour appliquer la vérification RPF aux interfaces de multiplexage VLAN dynamiques
- Configuration du filtre d’échec RPF-Check
Configuration du profil dynamique pour appliquer la vérification RPF aux interfaces de multiplexage VLAN dynamiques
Configuration rapide de la CLI
Pour configurer rapidement le profil dynamique afin d’appliquer unicast RPF aux interfaces de multiplexage VLAN créées dynamiquement, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, puis copiez et collez les commandes dans le CLI.
edit dynamic-profiles vlan-demux-prof interfaces demux0 edit unit $junos-interface-unit set demux-options underlying-interface $junos-interface-ifd-name set vlan-id $junos-vlan-id edit family inet set unnumbered-address lo0.0 set rpf-check fail-filter rpf-pass-dhcp
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, consultez Utilisation de l’éditeur CLI en mode configuration.
Pour configurer RPF unicast sur le routeur :
Créez un profil dynamique.
[edit] user@host# edit dynamic-profiles vlan-demux-prof
Spécifiez que le profil de VLAN dynamique utilise l’interface demux.
[edit dynamic-profiles vlan-demux-prof] user@host# edit interfaces demux0
Spécifiez que le profil dynamique applique la valeur de l’unité d’interface demux aux VLAN dynamiques.
[edit dynamic-profiles vlan-demux-prof interfaces demux0] user@host# edit unit $junos-interface-unit
Spécifiez l’interface logique sous-jacente des VLAN dynamiques.
[edit dynamic-profiles vlan-demux-prof interfaces demux0 unit $junos-interface-unit] user@host# set demux-options underlying-interface $junos-interface-ifd-name
Configurez la variable qui génère des ID de VLAN créés dynamiquement.
[edit dynamic-profiles vlan-demux-prof interfaces demux0 unit $junos-interface-unit] user@host# set vlan-id $junos-vlan-id
Configurez la famille d’adresses IPv4 pour les interfaces demux.
[edit dynamic-profiles vlan-demux-prof interfaces demux0 unit $junos-interface-unit] user@host# edit family inet
Configurez l’adresse non numérotée pour la famille.
[edit dynamic-profiles vlan-demux-prof interfaces demux0 unit $junos-interface-unit family inet] user@host# set unnumbered-address lo0.0
Configurez unicast RPF et spécifiez le filtre d’échec qui est appliqué aux paquets entrants qui échouent à la vérification.
[edit dynamic-profiles vlan-demux-prof interfaces demux0 unit $junos-interface-unit family inet] user@host# set fail-filter fail-filter rpf-pass-dhcp
Configuration du filtre d’échec RPF-Check
Configuration rapide de la CLI
Pour configurer rapidement le filtre d’échec RPF-check unicast, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, puis copiez et collez les commandes dans la CLI.
edit firewall family inet filter rpf-pass-dhcp edit term allow-dhcp set from destination-port dhcp set from destination-address 255.255.255.255/32 set then count rpf-dhcp-traffic set then accept up edit term default set then discard
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, consultez Utilisation de l’éditeur CLI en mode configuration.
Pour configurer le filtre d’échec RPF-check :
Créez le filtre d’échec.
[edit firewall] user@host# edit family inet filter rpf-pass-dhcp
Définissez le terme de filtre qui identifie les paquets DHCP en fonction du port de destination DHCP, puis compte et transmet les paquets.
[edit firewall family inet filter rpf-pass-dhcp] user@host# edit term allow-dhcp user@host# set from destination-port dhcp user@host# set from destination-address 255.255.255.255/32 user@host# set then count rpf-dhcp-traffic user@host# set then accept
Définissez le terme de filtre qui supprime tous les autres paquets ayant échoué.
[edit firewall filter rpf-pass-dhcp] user@host# edit term default user@host# set then discard
Résultats
En mode configuration, confirmez la configuration RPF unicast en entrant la show dynamic-profiles commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show dynamic-profiles
vlan-demux-prof {
interfaces {
demux0 {
unit "$junos-interface-unit" {
vlan-id "$junos-vlan-id";
demux-options {
underlying-interface "$junos-interface-ifd-name";
}
family inet {
unnumbered-address lo0.0;
rpf-check {
fail-filter rpf-pass-dhcp;
}
}
}
}
}
}
En mode configuration, confirmez la configuration du filtre d’échec en entrant la show firewall commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show firewall
family inet {
filter rpf-pass-dhcp {
term allow-dhcp {
from {
destination-address {
255.255.255.255/32;
}
destination-port dhcp;
}
then {
count rpf-dhcp-traffic;
accept;
}
}
term default {
then {
discard;
}
}
}
}
Si vous avez terminé de configurer l’appareil, entrez en commit mode configuration.
Vérification
Pour confirmer que la configuration est correcte, effectuez les tâches suivantes :
Vérification de l’activation du RPF unicast sur le routeur
Objet
Vérifiez que le RPF unicast est activé.
Mesures à prendre
Vérifiez que RPF unicast est activé à l’aide de la show subscribers extensive commande.
user@host> show subscribers extensive
Type: VLAN
Logical System: default
Routing Instance: default
Interface: ae0.1073741824
Interface type: Dynamic
Dynamic Profile Name: vlan-demux-prof
State: Active
Session ID: 9
VLAN Id: 100
Login Time: 2011-08-26 08:17:00 PDT
IPv4 rpf-check Fail Filter Name: rpf-pass-dhcp
Signification
Le champ IPv4 rpf-check Fail Filter Name affiche rpf-pass-dhcp, le nom du filtre d’échec appliqué par le profil dynamique pour les paquets IPv4 qui échouent à la vérification RPF.
Tableau de l’historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.
show interfaces statistics logical-interface-name detail commande affiche unicast statistiques RPF pour les interfaces logiques dynamiques lorsque l’un
rpf-check ou
rpf-check mode loose est activé sur l’interface.