SCTP 구성
모든 SCTP 트래픽에 대해 Stateful Inspection을 수행하도록 SCTP(Stream Control Transmission Protocol)를 구성할 수 있습니다.
SCTP 구성 개요
보안 장비가 모든 SCTP 트래픽에 대해 스테이트풀 검사를 수행할 수 있도록 하나 이상의 SCTP 프로필을 구성해야 합니다. SCTP 트래픽의 스테이트풀 검사는 일부 비정상적인 SCTP 패킷을 드롭합니다.
SCTP 방화벽은 프로필에 대한 심층 검사를 지원합니다.
패킷 필터링—특수 SCTP 페이로드 프로토콜 및 M3UA 서비스를 위한 드롭 패킷 프로필 구성으로 패킷 필터링을 지원합니다.
제한 속도—연결당 M3UA 및 SCCP 패킷 속도를 제어합니다.
SCTP 심층 검사에는 다음 설정이 필요합니다.
SCTP 프로필 생성
필터링 구성 및 매개변수 제한
SCTP 프로파일을 정책에 바인딩
예: SCTP 트래픽을 허용 또는 거부하기 위한 보안 정책 구성
이 예에서는 SCTP 트래픽을 허용하거나 거부하는 보안 정책을 구성하는 방법을 보여줍니다.
요구 사항
시작하기 전:
존을 만듭니다. 예: 보안 존 생성을 참조하십시오.
주소록을 구성하고 정책에 사용할 주소를 만듭니다. 예: 주소록 및 주소 집합 구성을 참조하십시오.
정책이 해당 유형의 트래픽에 적용된다는 것을 나타내는 애플리케이션(또는 애플리케이션 세트)을 만듭니다. 예: 보안 정책 애플리케이션 및 애플리케이션 세트 구성을 참조하십시오.
GPRS SCTP 프로파일을 구성합니다. 예: 정책 기반 검사를 위한 GPRS SCTP 프로필 구성을 통해 보안 위험을 줄이는 방법
개요
SCTP 방화벽은 통과하거나 삭제할 수 있는 패킷을 결정하는 데 관리적으로 사용되는 정책 메커니즘을 구현합니다. 여러 주소, 주소 그룹 또는 전체 존에 대해 정책을 구성할 수 있습니다.
SCTP 트래픽에 단 몇 개의 포트만 사용되는 경우 SCTP 연결은 SPU(Services Processing Unit)에 고르게 분산되지 않습니다. 이는 다음과 같은 경우에 발생합니다.
연결 포트 쌍에서 고르지 않은 해시 결과.
포트 쌍의 수는 SPU 개수보다 적거나 그다지 많지 않습니다.
이 구성 예에서는 다음과 같은 방법을 보여줍니다.
신뢰할 수 없는 존에서 IP 주소 10.1.1.0/24로 SCTP 트래픽 거부
roam2att 프로필에 지정된 SCTP 구성을 사용하여 트러스트 존의 IP 주소 10.1.2.0/24에서 언트러스트 존으로 SCTP 트래픽을 허용합니다.
그림 1 은 SCTP 방화벽 구현을 보여줍니다.
![SCTP Firewall Implementation](/documentation/us/en/software/junos/gtp-sctp/images/g034208.gif)
구성
절차
CLI 빠른 구성
이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣고, 줄 바꿈을 제거하고, 네트워크 구성에 필요한 세부 정보를 변경하고, 명령을 계층 수준에서 CLI [edit]
에 복사 및 붙여넣은 다음 구성 모드에서 입력 commit 합니다.
set security zones security-zone trust interfaces ge-0/0/2 set security zones security-zone untrust interfaces ge-0/0/1 set security policies from-zone trust to-zone untrust policy deny-all match source-address any set security policies policy from-zone trust to-zone untrust policy deny-all match destination-address 10.1.1.0/24 set security policies policy from-zone trust to-zone untrust policy deny-all match application junos-gprs-sctp set security policies from-zone trust to-zone untrust policy deny-all then deny set security policies from-zone trust to-zone untrust policy allow-att-roaming match source-address 10.1.2.0/24 set security policies from-zone trust to-zone untrust policy allow-att-roaming match destination-address any set security policies policy from-zone trust to-zone untrust policy allow-att-roaming match application junos-gprs-sctp set security policies from-zone trust to-zone untrust policy allow-att-roaming then permit application-services gprs-sctp-profile roam2att
단계별 절차
SCTP 트래픽을 허용 또는 거부하는 보안 정책을 구성하려면 다음을 수행합니다.
인터페이스 및 보안 존을 구성합니다.
[edit security zones] user@host# set security-zone trust interfaces ge-0/0/2 user@host# set security-zone untrust interfaces ge-0/0/1
트러스트 존에서 신뢰할 수 없는 영역으로 트래픽을 허용하는 보안 정책을 만듭니다.
[edit security policies from-zone trust to-zone untrust] user@host# set policy allow-att-roaming match source-address 10.1.2.0/24 user@host# set policy allow-att-roaming match destination-address any user@host# set policy allow-att-roaming match application junos-gprs-sctp user@host# set policy allow-att-roaming then permit application-services gprs-sctp-profile roam2att
트러스트 존에서 신뢰할 수 없는 영역으로 트래픽을 거부하는 보안 정책을 만듭니다.
[edit security policies from-zone trust to-zone untrust] user@host# set policy deny-all match source-address any user@host# set policy deny-all match destination-address 10.1.1.0/24 user@host# set policy deny-all match application junos-gprs-sctp user@host# set policy deny-all then deny
결과
구성 모드에서 명령을 입력하여 구성을 show security policies
확인합니다. 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 지침을 반복하여 구성을 수정합니다.
[edit] user@host# show security policies from-zone trust to-zone untrust { policy deny-all { match { source-address any; destination-address 10.1.1.0/24; application junos-gprs-sctp; } then { deny; } } policy allow-att-roaming { match { source-address 10.1.2.0/24; destination-address any; application junos-gprs-sctp; } then { permit { application-services { gprs-sctp-profile roam2att; } } } } }
디바이스 구성을 완료한 경우 구성 모드에서 입력 commit
합니다.
예: 보안 위험을 줄이기 위해 정책 기반 검사를 위한 GPRS SCTP 프로필 구성
GPRS 아키텍처에서 운영자의 네트워크에 대한 보안 위협의 근본 원인은 GPRS 터널링 프로토콜(GTP)에 내재된 보안 부족입니다. 이 예에서는 정책 기반 검사를 위해 GPRS SCTP 프로필을 구성하여 GTP의 보안 위험을 줄이는 방법을 보여줍니다.
요구 사항
시작하기 전에 GPRS SCTP 계층과 그 옵션에 대해 알아보십시오.
개요
이 예에서는 제한 속도 매개 변수와 SCTP 검사를 위한 페이로드 프로토콜 매개변수를 설정하여 GPRS SCTP 프로파일을 구성합니다. 정책에 옵션이 포함된 nat-only
경우 페이로드 IP 주소가 변환되지만 검사되지 않습니다.
SCTP 명령은 SCTP 프로파일로 구성된 정책에만 적용할 수 있습니다.
정책에서 SCTP 프로필을 제거하면 패킷은 검사 없이 포워딩되며 패킷 페이로드의 IP 주소 목록은 관련 정적 NAT가 구성되더라도 변환되지 않습니다.
구성
절차
CLI 빠른 구성
이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣고, 줄 바꿈을 제거하고, 네트워크 구성에 필요한 세부 정보를 변경하고, 명령을 계층 수준에서 CLI [edit]
에 복사 및 붙여넣은 다음 구성 모드에서 입력 commit 합니다.
set security gprs sctp profile roam2att limit rate address 10.1.1.0 sccp 100 set security gprs sctp profile roam2att limit rate address 10.1.1.0 ssp 10 set security gprs sctp profile roam2att limit rate address 10.1.1.0 sst 50 set security gprs sctp profile roam2att drop payload-protocol all set security gprs sctp profile roam2att permit payload-protocol dua
단계별 절차
GPRS SCTP 프로파일을 구성하려면 다음을 수행합니다.
제한 속도 매개변수를 구성합니다.
제한 속도는 연결당입니다.
[edit security gprs sctp profile roam2att] user@host# set limit rate address 10.1.1.0 sccp 100 user@host# set limit rate address 10.1.1.0 ssp 10 user@host# set limit rate address 10.1.1.0 sst 50
모든 SCTP 페이로드 메시지를 드롭하도록 페이로드 프로토콜을 구성합니다.
[edit security gprs sctp profile roam2att] user@host# set drop payload-protocol all
특정 SCTP 페이로드 메시지를 허용하도록 페이로드 프로토콜을 구성합니다.
[edit security gprs sctp profile roam2att] user@host# set permit payload-protocol dua
결과
구성 모드에서 show Security gprs 명령을 입력하여 구성을 확인합니다. 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 지침을 반복하여 구성을 수정합니다.
[edit] user@host# show security gprs sctp { profile roam2att { drop { payload-protocol all; } permit { payload-protocol dua; } limit { rate { address 10.1.1.0 { sccp 100; ssp 10; sst 50; } } } } }
디바이스 구성을 완료한 경우 구성 모드에서 커밋 을 입력합니다.
확인
구성이 올바르게 작동하는지 확인합니다.
SCTP 프로파일 구성 검증
목적
SCTP 프로필 구성을 확인합니다.
작업
구성 모드에서 구성 보안 gprs sctp profile roam2att 명령 표시 를 입력합니다.
user@host> show configuration security gprs sctp profile roam2att drop { payload-protocol all; } permit { payload-protocol dua; } limit { rate { address 10.1.1.0 { sccp 100; ssp 10; sst 50; } } }
의미
출력은 허용된 SCTP 페이로드 메시지와 드롭된 SCTP 페이로드 메시지에 대한 정보를 표시합니다. 다음 정보를 확인합니다.
SCTP 페이로드 메시지 삭제
허용된 SCTP 페이로드 메시지