RPF de unidifusión en perfiles dinámicos para interfaces de suscriptor
RPF de unidifusión en perfiles dinámicos para interfaces de suscriptor
El reenvío de ruta inversa de unidifusión (RPF) proporciona una manera de reducir el efecto de los ataques de denegación de servicio (DoS) y denegación de servicio distribuido (DDoS) en las interfaces IPv4 e IPv6. Cuando se configura RPF de unidifusión en una interfaz, comprueba la dirección de origen del paquete. Los paquetes que pasan la verificación se reenvían. Los paquetes que no superan la comprobación se descartan o, si se configura un filtro con errores, se pasan al filtro para una evaluación adicional.
La RPF de unidifusión tiene dos modos de comportamiento, estricto y suelto. Cuando se configura RPF de unidifusión en un perfil dinámico, el modo estricto es el predeterminado. En el modo estricto, el FPR de unidifusión comprueba si la dirección de origen del paquete entrante coincide con un prefijo de la tabla de enrutamiento y si la interfaz espera recibir un paquete con este prefijo de dirección de origen. En el modo flexible, el FPR de unidifusión sólo comprueba si la dirección de origen coincide en la tabla de enrutamiento. No comprueba si la interfaz espera recibir un paquete de una dirección de origen específica.
Para ambos modos, cuando un paquete entrante no supera la comprobación RPF de unidifusión, el paquete no se acepta en la interfaz. En su lugar, RPF de unidifusión cuenta el paquete y lo envía a un filtro de error opcional, si está presente. El filtro de error determina qué otra acción se realiza en el paquete. En ausencia de un filtro de error, el paquete se descarta silenciosamente.
A partir de Junos OS versión 19.1R1, el comando muestra estadísticas RPF show interfaces statistics logical-interface-name detail de unidifusión para interfaces lógicas dinámicas cuando está rpf-check activado en rpf-check mode loose la interfaz. No se muestran estadísticas adicionales cuando rpf-check fail-filter filter-name se configura en la interfaz. El clear interfaces statistics logical-interface-name comando borra las estadísticas de RPF.
Configuración de RPF de unidifusión en perfiles dinámicos para interfaces de suscriptor
El FPR de unidifusión proporciona una forma de reducir el efecto de los ataques de denegación de servicio en las interfaces IPv4 e IPv6 mediante la comprobación de la dirección IP de origen con la tabla de enrutamiento. Los paquetes que no coinciden se descartan silenciosamente, a menos que se configure un filtro de error opcional. El filtro de error realiza una comprobación adicional e indica que se realicen algunas acciones en determinados paquetes. Las acciones típicas incluyen registrar los paquetes o pasarlos aunque no hayan superado la comprobación de RPF.
Aunque el filtro de error es técnicamente opcional, para los perfiles dinámicos en un entorno DHCP debe configurar un filtro para pasar paquetes DHCP. De forma predeterminada, la comprobación RPF impide que se acepten paquetes DHCP en interfaces protegidas por la comprobación RPF. El filtro de error identifica los paquetes DHCP y los transmite.
Para configurar una comprobación de RPF de unidifusión en un perfil dinámico:
Configuración de un filtro de error para RPF de unidifusión en perfiles dinámicos para interfaces de suscriptor
En este tema se describe cómo configurar un filtro de error en el nivel de [edit firewall] jerarquía que RPF de unidifusión puede aplicar opcionalmente para interfaces de suscriptor en perfiles dinámicos en enrutadores de la serie MX.
A diferencia de los filtros de error configurados estáticamente, los filtros de error de comprobación RPF utilizados en un perfil dinámico no pueden ser específicos de una interfaz determinada.
Para configurar un filtro de error de firewall:
Ejemplo: configuración de RPF de unidifusión en un perfil dinámico en enrutadores de la serie MX
En este ejemplo se muestra cómo ayudar a defender las interfaces de entrada del enrutador contra ataques de denegación de servicio (DoS) y denegación de servicio distribuido (DDoS) mediante la configuración del reenvío de ruta inversa (RPF) de unidifusión en una interfaz perimetral del cliente para filtrar el tráfico entrante. El RPF de unidifusión verifica la dirección de origen de unidifusión de cada paquete que llega a una interfaz de entrada en la que el RPF de unidifusión está habilitado. Los paquetes que no superan la verificación se descartan silenciosamente a menos que un filtro de error realice alguna otra acción en ellos.
Requisitos
En este ejemplo se utilizan los siguientes componentes de software y hardware:
Una plataforma de enrutamiento universal 5G serie MX
Antes de empezar:
Configure el perfil dinámico que desea utilizar para aplicar la comprobación de RPF.
Visión general
Grandes cantidades de tráfico no autorizado, como los intentos de inundar una red con solicitudes de servicio falsas en un ataque de denegación de servicio (DoS), pueden consumir recursos de red y denegar el servicio a usuarios legítimos. Una forma de ayudar a prevenir DoS y ataques de denegación de servicio distribuido (DDoS) es verificar que el tráfico entrante se origine en fuentes de red legítimas.
El RPF de unidifusión ayuda a garantizar que un origen de tráfico sea legítimo (autorizado) comparando la dirección de origen de cada paquete que llega a una interfaz con la entrada de la tabla de reenvío de su dirección de origen. Si el enrutador utiliza la misma interfaz en la que llegó el paquete para responder al origen del paquete, esto verifica que el paquete se originó en una fuente autorizada y el enrutador reenvía el paquete. Si el enrutador no utiliza la misma interfaz en la que llegó el paquete para responder al origen del paquete, es posible que el paquete se haya originado en un origen no autorizado y que el enrutador descarte el paquete o lo pase a un filtro de error.
El filtro de error le permite establecer criterios para los paquetes que desea pasar a pesar de no superar la comprobación RPF, como los paquetes DHCP, que se descartan de forma predeterminada.
En los enrutadores de la serie MX, puede configurar RPF de unidifusión en un perfil dinámico para aplicar la configuración a una o más interfaces de suscriptor. Consulte Descripción de RPF de unidifusión (enrutadores) para obtener más información sobre el comportamiento y las limitaciones de RPF de unidifusión en enrutadores de la serie MX.
En este ejemplo, se configura el enrutador para protegerlo contra posibles ataques DoS y DDoS desde Internet perpetrados a través de paquetes IPv4 que llegan a interfaces demux VLAN creadas dinámicamente. El perfil dinámico, vlan-demux-prof, establece que las interfaces demux VLAN se crean automáticamente para los suscriptores. El RPF de unidifusión se habilita en las interfaces dinámicas mediante el término rpf-check.
De forma predeterminada, RPF de unidifusión impide que se acepten paquetes del Protocolo de configuración dinámica de host (DHCP) en las interfaces a las que se aplica. Cuando se descartan paquetes DHCP, el perfil dinámico no puede crear nuevos suscriptores. Para permitir que las interfaces acepten paquetes DHCP, debe aplicar un filtro de error que ordene correctamente los paquetes que no superan la comprobación e identifique los paquetes DHCP. En este ejemplo, se configura el allow-dhcp término en el filtro rpf-pass-dhcp. Este término coincide, cuenta y acepta paquetes IPv4 destinados al puerto DHCP y a cualquier dirección. El default term descarta todos los demás paquetes que no superan la comprobación del RPF.
En este ejemplo no se muestran todas las opciones de configuración posibles.
Topología
Configuración
Para habilitar RPF de unidifusión con un filtro de error en un perfil dinámico, realice estas tareas:
- Configuración del perfil dinámico para aplicar la comprobación de RPF a interfaces Demux de VLAN dinámica
- Configuración del filtro RPF-Check Fail
Configuración del perfil dinámico para aplicar la comprobación de RPF a interfaces Demux de VLAN dinámica
Configuración rápida de CLI
Para configurar rápidamente el perfil dinámico para aplicar RPF de unidifusión a interfaces demux VLAN creadas dinámicamente, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea y, a continuación, copie y pegue los comandos en la CLI.
edit dynamic-profiles vlan-demux-prof interfaces demux0 edit unit $junos-interface-unit set demux-options underlying-interface $junos-interface-ifd-name set vlan-id $junos-vlan-id edit family inet set unnumbered-address lo0.0 set rpf-check fail-filter rpf-pass-dhcp
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.
Para configurar RPF de unidifusión en el enrutador:
Cree un perfil dinámico.
[edit] user@host# edit dynamic-profiles vlan-demux-prof
Especifique que el perfil de VLAN dinámica utilice la interfaz demux.
[edit dynamic-profiles vlan-demux-prof] user@host# edit interfaces demux0
Especifique que el perfil dinámico aplica el valor de unidad de interfaz demux a las VLAN dinámicas.
[edit dynamic-profiles vlan-demux-prof interfaces demux0] user@host# edit unit $junos-interface-unit
Especifique la interfaz lógica subyacente para las VLAN dinámicas.
[edit dynamic-profiles vlan-demux-prof interfaces demux0 unit $junos-interface-unit] user@host# set demux-options underlying-interface $junos-interface-ifd-name
Configure la variable que da como resultado ID de VLAN creados dinámicamente.
[edit dynamic-profiles vlan-demux-prof interfaces demux0 unit $junos-interface-unit] user@host# set vlan-id $junos-vlan-id
Configure la familia de direcciones IPv4 para las interfaces demux.
[edit dynamic-profiles vlan-demux-prof interfaces demux0 unit $junos-interface-unit] user@host# edit family inet
Configure la dirección no numerada para la familia.
[edit dynamic-profiles vlan-demux-prof interfaces demux0 unit $junos-interface-unit family inet] user@host# set unnumbered-address lo0.0
Configure el RPF de unidifusión y especifique el filtro de error que se aplica a los paquetes entrantes que no superan la comprobación.
[edit dynamic-profiles vlan-demux-prof interfaces demux0 unit $junos-interface-unit family inet] user@host# set fail-filter fail-filter rpf-pass-dhcp
Configuración del filtro RPF-Check Fail
Configuración rápida de CLI
Para configurar rápidamente el filtro de error de comprobación de RPF de unidifusión, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea y, a continuación, copie y pegue los comandos en la CLI.
edit firewall family inet filter rpf-pass-dhcp edit term allow-dhcp set from destination-port dhcp set from destination-address 255.255.255.255/32 set then count rpf-dhcp-traffic set then accept up edit term default set then discard
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.
Para configurar el filtro de error de comprobación RPF:
Cree el filtro de error.
[edit firewall] user@host# edit family inet filter rpf-pass-dhcp
Defina el término de filtro que identifica los paquetes DHCP en función del puerto de destino DHCP, luego cuente y pase los paquetes.
[edit firewall family inet filter rpf-pass-dhcp] user@host# edit term allow-dhcp user@host# set from destination-port dhcp user@host# set from destination-address 255.255.255.255/32 user@host# set then count rpf-dhcp-traffic user@host# set then accept
Defina el término de filtro que descarta todos los demás paquetes con errores.
[edit firewall filter rpf-pass-dhcp] user@host# edit term default user@host# set then discard
Resultados
Desde el modo de configuración, escriba el comando para confirmar la configuración del RPF de show dynamic-profiles unidifusión. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show dynamic-profiles
vlan-demux-prof {
interfaces {
demux0 {
unit "$junos-interface-unit" {
vlan-id "$junos-vlan-id";
demux-options {
underlying-interface "$junos-interface-ifd-name";
}
family inet {
unnumbered-address lo0.0;
rpf-check {
fail-filter rpf-pass-dhcp;
}
}
}
}
}
}
Desde el modo de configuración, ingrese el comando para confirmar la configuración del filtro con errores show firewall . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show firewall
family inet {
filter rpf-pass-dhcp {
term allow-dhcp {
from {
destination-address {
255.255.255.255/32;
}
destination-port dhcp;
}
then {
count rpf-dhcp-traffic;
accept;
}
}
term default {
then {
discard;
}
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Para confirmar que la configuración es correcta, realice estas tareas:
Comprobación de que el RPF de unidifusión esté habilitado en el enrutador
Propósito
Compruebe que la RPF de unidifusión esté habilitada.
Acción
Compruebe que la RPF de unidifusión está habilitada mediante el show subscribers extensive comando.
user@host> show subscribers extensive
Type: VLAN
Logical System: default
Routing Instance: default
Interface: ae0.1073741824
Interface type: Dynamic
Dynamic Profile Name: vlan-demux-prof
State: Active
Session ID: 9
VLAN Id: 100
Login Time: 2011-08-26 08:17:00 PDT
IPv4 rpf-check Fail Filter Name: rpf-pass-dhcp
Significado
El campo IPv4 rpf-check Nombre del filtro de error muestra rpf-pass-dhcp, el nombre del filtro de error aplicado por el perfil dinámico para los paquetes IPv4 que no superan la comprobación RPF.
Tabla de historial de cambios
La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.
show interfaces statistics logical-interface-name detail de unidifusión para interfaces lógicas dinámicas cuando está
rpf-check activado en
rpf-check mode loose la interfaz.