Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ограничение доступа TCP для BGP

О параметрах безопасности для BGP TCP

Среди протоколов маршрутов BGP использование протокола TCP в качестве транспортного протокола. BGP ранговые ранги устанавливаются вручную между устройствами маршрутки для создания сеанса TCP на порту 179. Устройство с BGP с включенным подключением периодически отправляет сообщения keepalive для поддержания соединения.

Со временем BGP становится доминирующим междоменным протоколом маршрутов в Интернете. Однако у него есть ограниченные гарантии стабильности и безопасности. Настройка параметров безопасности для BGP должна сбалансировать приемлемые меры безопасности с приемлемыми затратами. Ни один метод не имеет ни одного метода, превосходящего другие методы. Каждый сетевой администратор должен настроить меры безопасности, которые отвечают потребностям используемой сети.

Более подробную информацию о проблемах безопасности, связанных с BGP использования TCP в качестве транспортного протокола см. в RFC 4272 BGP Анализуязвимостей системы безопасности.

Примере: Настройка фильтра для блоки TCP-доступа к порту за исключением определенных BGP равноправных BGP

В этом примере показано, как настроить стандартный фильтр межсетевых экранов без стежка, который блокирует все попытки TCP-подключения к порту 179 от всех запрашивающих, кроме за исключением определенных BGP равноправных BGP равноправных BGP одноранговых узлах.

Требования

До настройки этого примера специальная настройка после инициализации устройства не требуется.

Обзор

В данном примере создается фильтр межсетевых экранов без с состояния, который блокирует все попытки TCP-подключения к порту 179 от всех запрашивающих, кроме указанных BGP равноправных BGP одноранговых узлах.

Фильтр межсетевых экранов без с состоянием совпадает со всеми пакетами с напрямую подключенных интерфейсов устройства А и устройства В на номер конечного порта filter_bgp179 179.

Топологии

Рис. 1 показывает топологию, используемую в этом примере. Устройство C пытается сделать TCP-соединение с устройством E. Устройство E блокирует попытку подключения. В этом примере показана конфигурация устройства E.

Рис. 1: Типичная сеть с BGP одноранговых сеансовТипичная сеть с BGP одноранговых сеансов

Конфигурации

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопировать следующие команды, ввести их в текстовый файл, удалить все разрывы строки, изменить все данные, необходимые для настройки сети, а затем скопировать и вкопировать команды в интерфейс командной строки на [edit] иерархии.

Устройство C

Устройство E

Настройка устройства E

Пошаговая процедура

В следующем примере иерархия конфигурации требует перемещения по разным уровням. Для получения информации о навигации по интерфейс командной строки см. использование редактора интерфейс командной строки в режиме конфигурации в руководстве Junos OS интерфейс командной строки пользователя.

Чтобы настроить устройство E с фильтром брандмауэра без с состоянием, который блокирует все попытки TCP-подключения к порту 179 от всех запрашивателей, кроме указанных BGP равноправных участников:

  1. Настройте интерфейсы.

  2. Настройте BGP.

  3. Настройте номер автономной системы.

  4. Определите термин фильтра, который принимает попытки TCP-подключения к порту 179 от указанных BGP равноправных BGP узлам.

  5. Определите другой термин фильтра для отклонить пакеты от других источников.

  6. Примените фильтр брандмауэра к интерфейсу обратной связи.

Результаты

В режиме конфигурации подтвердите конфигурацию путем ввода show firewall команд show interfaces и show protocolsshow routing-options команд. Если в выходных данных не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.

После настройки устройства войдите в commit режим конфигурации.

Проверки

Подтвердим, что конфигурация работает правильно.

Проверка настройки фильтра

Цель

Убедитесь, что фильтр указан в выходных данных show firewall filter команды.

Действий

Проверка соединений TCP

Цель

Проверьте соединения TCP.

Действий

В рабочем режиме запустите show system connections extensive команду на устройствах C и Устройстве E.

Выходные данные устройства C показывают попытку установить TCP-соединение. Выходные данные устройства E показывают, что соединения устанавливаются только с устройством А и устройством B.

Мониторинг трафика на интерфейсах

Цель

Используйте эту команду для сравнения трафика на интерфейсе, устанавливаемом TCP-соединение с трафиком на интерфейсе, который не устанавливает monitor traffic TCP-соединение.

Действий

В рабочем режиме запустите команду на интерфейсе Device E к устройству B и на интерфейсе monitor traffic Device E к устройству C. Следующий пример выходных данных проверяет, что в первом примере получены сообщения подтверждения ack () Во втором примере ack сообщения не получены.

Примере: Настройка фильтра для ограничения TCP-доступа к порту на основе списка префиксов

В этом примере показано, как настроить стандартный фильтр межсетевых экранов без степеней, ограничивающий определенный трафик TCP и протокола управления Интернетом (ICMP), предназначенный для модуль маршрутизации, путем указания списка источников префиксов, содержащих разрешенные BGP равноправных BGP равноправных узлах.

Требования

Перед настройкой в этом примере не требуется специальная настройка после инициализации устройства.

Обзор

В этом примере создается фильтр межсетевых экранов без с состояния, который блокирует все попытки TCP-подключения к порту 179 от всех запрашивающих BGP равноправных BGP с указанным префиксом.

Топологии

Создается список префиксов источника, который определяет список префиксов источника, содержащих разрешенные префиксы BGP plist_bgp179 одноранговых узлах.

Фильтр межсетевых экранов без с состоянием совпадает со всеми пакетами из списка префиксов источника к номеру filter_bgp179plist_bgp179 порта назначения 179.

Конфигурации

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопировать следующие команды, ввести их в текстовый файл, удалить все разрывы строки, изменить все данные, необходимые для настройки сети, а затем скопировать и вкопировать команды в интерфейс командной строки на [edit] иерархии.

Настройка фильтра

Пошаговая процедура

В следующем примере иерархия конфигурации требует перемещения по разным уровням. Для получения информации о навигации по интерфейс командной строки см. использование редактора интерфейс командной строки в режиме конфигурации в руководстве Junos OS интерфейс командной строки пользователя.

Настройка фильтра:

  1. Расширьть список префиксов, включив все префиксы, которые указываются узел BGP bgp179 группы, определенной protocols bgp group <*> neighbor <*> .

  2. Определите термин фильтра, который отклоняет попытки TCP-подключения к порту 179 от всех запрашивающих, кроме указанных BGP равноправных узлах.

  3. Определите другой термин фильтра для примите все пакеты.

  4. Примените фильтр брандмауэра к интерфейсу обратной связи.

Результаты

В режиме конфигурации подтвердите конфигурацию путем ввода show firewall команд show interfaces и show policy-options команд. Если в выходных данных не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.

После настройки устройства войдите в commit режим конфигурации.

Проверки

Подтвердим, что конфигурация работает правильно.

Отображение фильтра брандмауэра, примененного к интерфейсу обратной связи

Цель

Убедитесь, что фильтр filter_bgp179 брандмауэра применяется к вводимом трафику IPv4 на логическом lo0.0 интерфейсе.

Действий

Используйте команду show interfaces statistics operational mode для логического интерфейса lo0.0 и включив detail этот параметр. В разделе выходных данных команды в поле отображается имя фильтра межсетевого экрана без с состояния, примененного к логическому интерфейсу в Protocol inetInput Filters направлении ввода.

Примере: Ограничение размера сегмента TCP для BGP

В данном примере показано, как избежать проблем с уязвимостью протокола управления Интернетом (ICMP), ограничив размер сегмента TCP при использовании максимальный размер пакета (MTU) обнаружения. Использование MTU на путях TCP – это один из способов BGP фрагментации пакетов.

Требования

До настройки этого примера специальная настройка после инициализации устройства не требуется.

Обзор

TCP согласовывать максимальный размер сегмента (MSS) во время установления соединения сеанса между двумя однорангами. Согласованная величина MSS главным образом основана на максимальный размер пакета (MTU) интерфейсов, к которым взаимодействующие одноранги подключены напрямую. Однако в связи с различиями в значениях MTU соединений на пути, попадаемом на пакеты TCP, некоторые пакеты в сети, в пределах значения MSS, могут быть фрагментированы, если размер пакета превышает значение MTU.

Чтобы настроить значение MSS TCP, включите утверждение с размером сегмента от tcp-mss 1 до 4096.

Если маршрутизатор получает TCP-пакет с битом SYN и установленным параметром MSS, а параметр MSS, указанный в пакете, превышает значение MSS, указанное в сообщении, то маршрутизатор заменяет значение MSS в пакете на меньшее значение, указанное tcp-mss в tcp-mss сообщении.

Настроенная величина MSS используется в качестве максимального размера сегмента для отправительского по размеру. Предположим, что значение MSS TCP, используемой отправищиком для связи с соседним BGP, такое же, как и значение MSS TCP, которое может принять отправитель от BGP соседа. Если значение MSS от соседнего BGP меньше настроенного значения MSS, значение MSS от соседнего BGP используется в качестве максимального размера сегмента для отправи мне.

Эта функция поддерживается с TCP по IPv4 и TCP через IPv6.

Схема топологии

Рис. 2 показывает топологию, используемую в этом примере.

Рис. 2: Максимальный размер сегмента TCP для BGPМаксимальный размер сегмента TCP для BGP

Конфигурации

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопировать следующие команды, ввести их в текстовый файл, удалить все разрывы строки, изменить все данные, необходимые для настройки сети, а затем скопировать и вкопировать команды в интерфейс командной строки на [edit] иерархии.

R0

Процедуры

Пошаговая процедура

В следующем примере иерархия конфигурации требует перемещения по разным уровням. Для получения информации о навигации по интерфейс командной строки см. использование редактора интерфейс командной строки в режиме конфигурации в руководстве Junos OS интерфейс командной строки пользователя.

Для настройки маршрутизатора 0:

  1. Настройте интерфейсы.

  2. Настройте протокол внутреннего шлюза (IGP) OSPF этом примере.

  3. Настройте одну или несколько BGP групп.

  4. Настройте MTU, чтобы предотвратить фрагментацию пакетов.

  5. Настройте соседние BGP, при этом TCP MSS глобально настроены для группы или специально для различных соседей.

    Прим.:

    Параметр соседа TCP MSS переопределит настройку группы.

  6. Настройте локализованную автономную систему.

Результаты

В режиме конфигурации подтвердите конфигурацию путем ввода show interfaces команд show protocols и show routing-options команд. Если в выходных данных не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.

После настройки устройства войдите в commit режим конфигурации.

Проверки

Чтобы подтвердить, что конфигурация работает правильно, запустите следующие команды:

  • show system connections extensive | find <neighbor-address>для проверки согласуемой стоимости TCP MSS.

  • monitor traffic interface, для BGP трафика и для того, чтобы убедиться, что настроено значение TCP MSS используется в качестве параметра MSS в пакете TCP SYN.

Устранение неполадок

Расчет MSS с MTU discovery

Проблема

Рассмотрим пример, в котором два устройства маршрутки (R1 и R2) имеют внутреннее BGP (IBGP). На обоих маршрутизаторах подключенные интерфейсы имеют 4034 в качестве MTU.

При следующем захвате пакетов на устройстве М1 согласованная MSS – 3994. В show system connections extensive сведениях для MSS, установлено в 2048.

Решение

Это ожидаемое поведение с Junos OS. Значение MSS равно значению MTU минус IP или IPv6 и TCP-заглавныхеров. Это означает, что значение MSS обычно на 40 больше, чем MTU (для IPv4) и на 60 больше, чем значение MSS (для IPv6 MTU). Это значение согласуется между узлами. В данном примере это 4034 – 40 = 3994. Junos OS округлить это значение до суммы, кратной 2 Кб. Значение 3994/ 2048* 2048=2048. Поэтому нет необходимости в том же значении MSS, что и в show system connections выходных данных.

3994 / 2048 = 1.95

1.95 округлается до 1.

1 * 2048 = 2048