Configuración de SCTP
El Protocolo de transmisión de control de secuencia (SCTP) se puede configurar para realizar una inspección con estado en todo el tráfico SCTP.
Descripción general de la configuración de SCTP
Debe configurar al menos un perfil SCTP para permitir que el dispositivo de seguridad realice una inspección con estado en todo el tráfico SCTP. La inspección de estado del tráfico SCTP dejará caer algunos paquetes SCTP anómalos.
El firewall SCTP admite una inspección más profunda de los perfiles:
Filtrado de paquetes: la configuración del perfil de los paquetes de caída para el protocolo especial de carga SCTP y el servicio M3UA permite el filtrado de paquetes.
Velocidad de límite: controla la velocidad de los paquetes M3UA y SCCP por asociación.
La inspección más profunda del SCTP requiere la siguiente configuración:
Creación de un perfil SCTP
Configuración de los parámetros de filtrado y límite
Vinculación del perfil SCTP a una política
Ejemplo: Configurar una política de seguridad para permitir o denegar tráfico SCTP
En este ejemplo, se muestra cómo configurar una política de seguridad para permitir o denegar tráfico SCTP.
Requisitos
Antes de comenzar:
Crear zonas. Consulte Ejemplo: Creación de zonas de seguridad.
Configure una libreta de direcciones y cree direcciones para usarlas en la política. Consulte Ejemplo: Configurar libretas de direcciones y conjuntos de direcciones.
Cree una aplicación (o conjunto de aplicaciones) que indique que la política se aplica al tráfico de ese tipo. Consulte Ejemplo: Configurar aplicaciones y conjuntos de aplicaciones de políticas de seguridad.
Configure un perfil GPRS SCTP. Consulte Ejemplo: Configurar un perfil GPRS SCTP para la inspección basada en políticas para reducir los riesgos de seguridad.
Visión general
El firewall SCTP implementa un mecanismo de política que se utiliza administrativamente para determinar los paquetes que se pueden pasar o quitar. Las políticas se pueden configurar para varias direcciones, grupos de direcciones o toda la zona.
En situaciones en las que solo se utilizan algunos puertos para el tráfico SCTP, las asociaciones SCTP no se distribuyen uniformemente a las unidades de procesamiento de servicios (SPU). Esto ocurre en los siguientes casos:
Resultados hash desiguales en los pares de puertos de asociación.
La cantidad de pares de puertos es menor o no mucho mayor que la cantidad de SPU.
En este ejemplo de configuración se muestra cómo:
Denegar el tráfico SCTP de la zona de confianza a la dirección IP 10.1.1.0/24 en la zona de no confianza.
Permitir tráfico SCTP desde una dirección IP 10.1.2.0/24 en la zona de confianza hasta la zona de desconfianza con la configuración SCTP especificada en el perfil roam2att.
La figura 1 muestra la implementación del firewall SCTP.
del firewall SCTP
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security zones security-zone trust interfaces ge-0/0/2 set security zones security-zone untrust interfaces ge-0/0/1 set security policies from-zone trust to-zone untrust policy deny-all match source-address any set security policies policy from-zone trust to-zone untrust policy deny-all match destination-address 10.1.1.0/24 set security policies policy from-zone trust to-zone untrust policy deny-all match application junos-gprs-sctp set security policies from-zone trust to-zone untrust policy deny-all then deny set security policies from-zone trust to-zone untrust policy allow-att-roaming match source-address 10.1.2.0/24 set security policies from-zone trust to-zone untrust policy allow-att-roaming match destination-address any set security policies policy from-zone trust to-zone untrust policy allow-att-roaming match application junos-gprs-sctp set security policies from-zone trust to-zone untrust policy allow-att-roaming then permit application-services gprs-sctp-profile roam2att
Procedimiento paso a paso
Para configurar una política de seguridad para permitir o denegar tráfico SCTP:
Configure las interfaces y las zonas de seguridad.
[edit security zones] user@host# set security-zone trust interfaces ge-0/0/2 user@host# set security-zone untrust interfaces ge-0/0/1
Cree la política de seguridad para permitir el tráfico desde la zona de confianza hasta la zona de desconfianza.
[edit security policies from-zone trust to-zone untrust] user@host# set policy allow-att-roaming match source-address 10.1.2.0/24 user@host# set policy allow-att-roaming match destination-address any user@host# set policy allow-att-roaming match application junos-gprs-sctp user@host# set policy allow-att-roaming then permit application-services gprs-sctp-profile roam2att
Cree la política de seguridad para denegar el tráfico de la zona de confianza a la zona de desconfianza.
[edit security policies from-zone trust to-zone untrust] user@host# set policy deny-all match source-address any user@host# set policy deny-all match destination-address 10.1.1.0/24 user@host# set policy deny-all match application junos-gprs-sctp user@host# set policy deny-all then deny
Resultados
Desde el modo de configuración, escriba el comando para confirmar la show security policies configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy deny-all {
match {
source-address any;
destination-address 10.1.1.0/24;
application junos-gprs-sctp;
}
then {
deny;
}
}
policy allow-att-roaming {
match {
source-address 10.1.2.0/24;
destination-address any;
application junos-gprs-sctp;
}
then {
permit {
application-services {
gprs-sctp-profile roam2att;
}
}
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Ejemplo: Configurar un perfil GPRS SCTP para la inspección basada en políticas para reducir los riesgos de seguridad
En la arquitectura GPRS, la causa fundamental de las amenazas de seguridad a la red de un operador es la falta inherente de seguridad en el protocolo de tunelización GPRS (GTP). En este ejemplo, se muestra cómo configurar un perfil GPRS SCTP para la inspección basada en políticas para reducir los riesgos de seguridad del GTP.
Requisitos
Antes de comenzar, comprenda la jerarquía de GPRS SCTP y sus opciones.
Visión general
En este ejemplo, configure un perfil GPRS SCTP estableciendo el parámetro de velocidad de límite y el parámetro del protocolo de carga para la inspección SCTP. Si la política incluye la nat-only opción, se traducen las direcciones IP de carga, pero no se inspeccionan.
Los comandos SCTP solo se pueden aplicar a la política configurada con un perfil SCTP.
Si elimina el perfil SCTP de la política, los paquetes se reenvían sin ninguna inspección y la lista de direcciones IP en la carga del paquete no se traducirá, incluso si está configurada la TDR estática relacionada.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security gprs sctp profile roam2att limit rate address 10.1.1.0 sccp 100 set security gprs sctp profile roam2att limit rate address 10.1.1.0 ssp 10 set security gprs sctp profile roam2att limit rate address 10.1.1.0 sst 50 set security gprs sctp profile roam2att drop payload-protocol all set security gprs sctp profile roam2att permit payload-protocol dua
Procedimiento paso a paso
Para configurar un perfil GPRS SCTP:
Configure el parámetro de velocidad de límite.
La tasa límite es por asociación.
[edit security gprs sctp profile roam2att] user@host# set limit rate address 10.1.1.0 sccp 100 user@host# set limit rate address 10.1.1.0 ssp 10 user@host# set limit rate address 10.1.1.0 sst 50
Configure el protocolo de carga para eliminar todos los mensajes de carga SCTP.
[edit security gprs sctp profile roam2att] user@host# set drop payload-protocol all
Configure el protocolo de carga para permitir ciertos mensajes de carga SCTP.
[edit security gprs sctp profile roam2att] user@host# set permit payload-protocol dua
Resultados
Desde el modo de configuración, confirme su configuración ingresando el comando mostrar gprs de seguridad . Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.
[edit]
user@host# show security gprs
sctp {
profile roam2att {
drop {
payload-protocol all;
}
permit {
payload-protocol dua;
}
limit {
rate {
address 10.1.1.0 {
sccp 100;
ssp 10;
sst 50;
}
}
}
}
}
Si ha terminado de configurar el dispositivo, ingrese confirmar desde el modo de configuración.
Verificación
Confirme que la configuración funciona correctamente.
Verificar la configuración del perfil SCTP
Propósito
Verifique la configuración del perfil SCTP.
Acción
Desde el modo de configuración, ingrese el comando show configuration security gprs sctp profile roam2att .
user@host> show configuration security gprs sctp profile roam2att
drop {
payload-protocol all;
}
permit {
payload-protocol dua;
}
limit {
rate {
address 10.1.1.0 {
sccp 100;
ssp 10;
sst 50;
}
}
}
Significado
El resultado muestra información sobre los mensajes de carga SCTP permitidos y los mensajes de carga SCTP que se pierden. Verifique la siguiente información:
Mensajes de carga SCTP caídos
Mensajes de carga SCTP permitidos