Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ejemplo: Configuración de un filtro de firewall sin estado para proteger contra inundaciones TCP e ICMP

En este ejemplo se muestra cómo crear un filtro de firewall sin estado que proteja contra ataques de denegación de servicio TCP e ICMP.

Requisitos

No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar los filtros de firewall sin estado.

Descripción general

En este ejemplo, creamos un filtro de firewall sin estado llamado protect-RE a vigilar los paquetes TCP e ICMP. Utiliza los aplicadores que se describen aquí:

  • tcp-connection-policer—Este aplicador de políticas limita el tráfico TCP a 1.000.000 de bits por segundo (bps) con un tamaño de ráfaga máximo de 15.000 bytes. Se descarta el tráfico que supere cualquiera de los límites.

  • icmp-policer—Este aplicador de políticas limita el tráfico ICMP a 1.000.000 bps con un tamaño de ráfaga máximo de 15.000 bytes. Se descarta el tráfico que supere cualquiera de los límites.

Al especificar límites, el límite de ancho de banda puede ser de 32.000 bps a 32.000.000.000 bps y el límite de tamaño de ráfaga puede ser de 1.500 bytes a 100.000.000 bytes. Utilice las siguientes abreviaturas al especificar límites: K (1.000), M (1.000.000) y G (1.000.000.000).

Cada aplicador de policía se incorpora a la acción de un término de filtro. En este ejemplo se incluyen los siguientes términos:

  • tcp-connection-term: controla ciertos paquetes TCP con una dirección de origen de 192.168.0.0/24 o 10.0.0.0/24. Estas direcciones se definen en la lista de trusted-addresses prefijos.

    Los paquetes filtrados incluyen tcp-established paquetes La tcp-established condición de coincidencia es un alias para la condición tcp-flags “(ack | rst)”de coincidencia de campo de bits , que indica una sesión TCP establecida, pero no el primer paquete de una conexión TCP.

  • icmp-term—Controla los paquetes ICMP. Todos los paquetes ICMP se cuentan en el icmp-counter contador.

Nota:

Puede mover términos dentro del filtro del firewall mediante el insert comando. Consulte insertar en la Guía del usuario de la CLI de Junos OS.

Puede aplicar un firewall sin estado a los lados de entrada o salida, o a ambos, de una interfaz. Para filtrar los paquetes que transitan por el dispositivo, aplique el filtro de firewall a cualquier interfaz que no sea de motor de enrutamiento. Para filtrar paquetes que se originan en el motor de enrutamiento o destinados a él, aplique el filtro de firewall a la interfaz de circuito cerrado (lo0).

Figura 1 muestra la red de ejemplo.

Figura 1: Filtro de firewall para proteger contra inundaciones TCP e ICMPFiltro de firewall para proteger contra inundaciones TCP e ICMP

Dado que este filtro de firewall limita el tráfico del motor de enrutamiento a los paquetes TCP, los protocolos de enrutamiento que utilizan otros protocolos de transporte para la capa 4 no pueden establecer sesiones correctamente cuando este filtro está activo. Para demostrarlo, en este ejemplo se configura OSPF entre el dispositivo R1 y el dispositivo R2.

Configuración rápida de CLI muestra la configuración de todos los dispositivos en Figura 1.

En la sección #configuration1102__policy-firewall-tcp-icmp-st se describen los pasos del dispositivo R2.

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente el filtro de firewall sin estado, copie los siguientes comandos en un archivo de texto, quite los saltos de línea y, a continuación, pegue los comandos en la CLI.

Dispositivo R1

Dispositivo R2

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Usar el editor de CLI en el modo de configuración.

Para configurar el filtro de firewall sin estado para descartar:

  1. Configure las interfaces del dispositivo.

  2. Configure la sesión de emparejamiento BGP.

  3. Configure el número de sistema autónomo (AS) y ID del enrutador.

  4. Configure OSPF.

  5. Defina la lista de direcciones de confianza.

  6. Configure una política para anunciar rutas directas.

  7. Configure el aplicador de políticas TCP.

  8. Cree el aplicador de políticas ICMP.

  9. Configure las reglas de filtro TCP.

  10. Configure las reglas de filtro ICMP.

  11. Aplique el filtro a la interfaz de circuito cerrado.

Resultados

Confirme la configuración introduciendo los comandos , show protocols, show policy-options, show routing-optionsy show firewall desde el show interfacesmodo de configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Verificación

Confirme que la configuración funcione correctamente.

Nota:

Para comprobar el aplicador de control TCP, puede utilizar una herramienta de generación de paquetes. Esta tarea no se muestra aquí.

Mostrar el filtro de firewall sin estado que está en vigor

Propósito

Compruebe la configuración del filtro de firewall.

Acción

Desde el modo operativo, ingrese el comando show firewall.

Significado

El resultado muestra el filtro, el contador y las políticas que están vigentes en el dispositivo R2.

Uso de telnet para comprobar la condición establecida por TCP en el filtro de firewall TCP

Propósito

Asegúrese de que el tráfico telnet funciona como se esperaba.

Acción

Compruebe que el dispositivo solo puede establecer sesiones TCP con hosts que cumplan la from tcp-established condición.

  1. Desde el dispositivo R2, asegúrese de que la sesión BGP con el dispositivo R1 esté establecida.

  2. Desde el dispositivo R2, telnet al dispositivo R1.

  3. Desde el dispositivo R1, telnet al dispositivo R2.

  4. En el dispositivo R2, desactive la condición de from tcp-established coincidencia.

  5. Desde el dispositivo R1, inténtelo de nuevo a telnet al dispositivo R2.

Significado

Verifique la información siguiente:

  • Como era de esperar, se establece la sesión BGP. No se espera que la from tcp-established condición de coincidencia bloquee el establecimiento de la sesión BGP.

  • Desde el dispositivo R2, puede telnet al dispositivo R1. El dispositivo R1 no tiene ningún filtro de firewall configurado, por lo que este es el comportamiento esperado.

  • Desde el dispositivo R1, no puede telnet al dispositivo R2. Telnet utiliza TCP como protocolo de transporte, por lo que este resultado puede ser sorprendente. La causa de la falta de conectividad telnet es la from tcp-established condición de coincidencia. Esta condición de coincidencia limita el tipo de tráfico TCP que se acepta del dispositivo R2. Después de desactivar esta condición de coincidencia, la sesión de telnet se realiza correctamente.

Uso de telnet para comprobar la condición de prefijos de confianza en el filtro de firewall TCP

Propósito

Asegúrese de que el tráfico telnet funciona como se esperaba.

Acción

Compruebe que el dispositivo solo puede establecer sesiones telnet con un host en una dirección IP que coincida con una de las direcciones de origen de confianza. Por ejemplo, inicie sesión en el dispositivo con el telnet comando desde otro host con uno de los prefijos de dirección de confianza. Además, compruebe que las sesiones Telnet con direcciones de origen que no son de confianza estén bloqueadas.

  1. Desde el dispositivo R1, telnet al dispositivo R2 desde una dirección de origen que no sea de confianza.

  2. Desde el dispositivo R2, agregue 172.16/16 a la lista de prefijos de confianza.

  3. Desde el dispositivo R1, inténtelo de nuevo a telnet al dispositivo R2.

Significado

Verifique la información siguiente:

  • Desde el dispositivo R1, no puede conectar telnet al dispositivo R2 con una dirección de origen que no sea de confianza. Después de agregar el prefijo 172.16/16 a la lista de prefijos de confianza, se acepta la solicitud telnet de la dirección de origen 172.16.0.1.

  • El establecimiento de la sesión de OSPF está bloqueado. OSPF no utiliza TCP como protocolo de transporte. Después de desactivar la condición de coincidencia, no se bloquea el from protocol tcp establecimiento de la sesión OSPF.

Uso de OSPF para comprobar el filtro de firewall TCP

Propósito

Asegúrese de que el tráfico de OSPF funciona como se esperaba.

Acción

Compruebe que el dispositivo no pueda establecer conectividad OSPF.

  1. Desde el dispositivo R1, compruebe las sesiones OSPF.

  2. Desde el dispositivo R2, compruebe las sesiones OSPF.

  3. En el dispositivo R2, elimine la condición de from protocol tcp coincidencia.

  4. Desde el dispositivo R1, vuelva a comprobar las sesiones OSPF.

  5. Desde el dispositivo R2, vuelva a comprobar las sesiones OSPF.

Significado

Verifique la información siguiente:

  • El establecimiento de la sesión de OSPF está bloqueado. OSPF no utiliza TCP como protocolo de transporte. Después de desactivar la condición de coincidencia, el from protocol tcp establecimiento de la sesión de OSPF se realiza correctamente.

Comprobación del filtro de firewall ICMP

Propósito

Verifique que los paquetes ICMP estén siendo vigilados y contados. Asegúrese también de que las solicitudes de ping se descarten cuando las solicitudes se originen en una dirección de origen que no sea de confianza.

Acción

  1. Deshaga los cambios de configuración realizados en los pasos de verificación anteriores.

    Reactive la configuración del firewall TCP y elimine la dirección de origen de confianza 172.16/16.

  2. Desde el dispositivo R1, haga ping a la interfaz de circuito cerrado en el dispositivo R2.

  3. Desde el dispositivo R2, compruebe las estadísticas del firewall.

  4. Desde una dirección de origen que no sea de confianza en el dispositivo R1, envíe una solicitud de ping a la interfaz de circuito cerrado del dispositivo R2.

Significado

Verifique la información siguiente:

  • La salida del ping muestra que se está produciendo una pérdida de paquetes del 10%.

  • El contador de paquetes ICMP se incrementa y el icmp-policer se incrementa.

  • El dispositivo R2 no envía respuestas ICMP al ping 172.16.0.2 source 172.16.0.1 comando.