[ Обновленные темы · Новые сообщения · Участники · Правила форума · Поиск · RSS ]
  • Страница 1 из 1
  • 1
Неприступный маршрутизатор
eXceedДата: Вторник, 03.06.2008, 17:57 | Сообщение # 1
Генералиссимус
Группа: Гости
Сообщений: 5466
Репутация: 616
Статус: Offline
Здесь я буду делится своим опытом по настройке маршрутизаторов Cisco. Первая статья посвящается безопастности маршрутизируемых сетей.

Все мы прекрасно знаем, что настоящий бич интернета это так называемые DDoS атаки. До недавнего времени я сам не задумывался над тем, что мне придется столкнуться с такой проблемой. Достаточно вспомнить прошлогодние события в СГУ. Тогда я оперативно среагировал на атаку и мне удалось минимизировать ущерб от DDoS.

Защита от подмены IP - адресов, или антиспуфинг.

Простой пример:
Процесс рассылки спама.
Пусть этим будут заниматься спам боты. Зайдя на маршрутизатор я вижу:

Code
#show ip cache flow
E0/0 86.35.180.4 E0/1 72.80.182.193 06 0C17 0019 7

Здесь 0019 - 25й порт в hex.
Здесь я вижу, что с интерфейса E0/1(внутренний) поступает в интернет большое количество пакетов. Но ведь внутренняя подсеть 172.17.2.0/24! Значит мы столкнулись с подменой адресов - спуфинг.
Вариантов защиты несколько.
Первый - ограничить исходящие пакеты из нашей сети в интернет. Пропускать пакеты принадлежащие нашей сети.

Code
#conf t
(config)#ip access-list standart 20
(config-std-nacl)#permit 172.17.2.0 0.0.0.255
(config-std-nacl)#deny any
(config-std-nacl)#exit
(config)#interface E0/1
(config-if)#ip access-group 20 in

Это ограничит трафик в интернет с адресов которые не принадлежат нашей сети.
Естественно, из внешней сети к нам не могут придти пакеты не адресованные хостам нашей сети. Ограничим их.

#conf t
(config)#ip access-list standart30
(config-std-nacl)#deny ip 172.17.2.0 0.0.0.255
Здесь я буду делится своим опытом по настройке маршрутизаторов Cisco. Первая статья посвящается безопастности маршрутизируемых сетей.

Все мы прекрасно знаем, что настоящий бич интернета это так называемые DDoS атаки. До недавнего времени я сам не задумывался над тем, что мне придется столкнуться с такой проблемой. Достаточно вспомнить прошлогодние события в СГУ. Тогда я оперативно среагировал на атаку и мне удалось минимизировать ущерб от DDoS.

Защита от подмены IP - адресов, или антиспуфинг.
Простой пример:
Процесс рассылки спама.
Пусть этим будут заниматься спам боты. Зайдя на маршрутизатор я вижу:

Code
#show ip cache flow
E0/0 86.35.180.4 E0/1 72.80.182.193 06 0C17 0019 7

Здесь 0019 - 25й порт в hex.
Здесь я вижу, что с интерфейса E0/1(внутренний) поступает в интернет большое количество пакетов. Но ведь внутренняя подсеть 172.17.2.0/24! Значит мы столкнулись с подменой адресов - спуфинг.
Вариантов защиты несколько.
Первый - ограничить исходящие пакеты из нашей сети в интернет. Пропускать пакеты принадлежащие нашей сети.

Code
#conf t
(config)#ip access-list standart 30
(config-std-nacl)#permit 172.17.2.0 0.0.0.255

Ограничим адреса, которые согласно RFC 1918 являются "серыми". Тоесть немаршрутизируемыми в интернете.

Code
(config-std-nacl)#deny ip 10.0.0.0 0.255.255.255
(config-std-nacl)#deny ip 172.16.0.0 0.0.255.255
(config-std-nacl)#deny ip 192.168.0.0 0.0.255.255

Кроме этого можно заблокировать адреса автоконфигурации Windows.

Code
(config-std-nacl)#deny ip 169.254.0.0 0.0.255.255

Ограничим адреса multicast(класс D) и класс E.

Code
(config-std-nacl)#deny ip 224.0.0.0 15.255.255.255
(config-std-nacl)#deny ip 240.0.0.0 7.255.255.255

Адреса принадлежащие интерфейсы loopback и адреса, первые океты которых нули либо еденицы.

Code
(config-std-nacl)#deny ip 127.0.0.1 0.255.255.255
(config-std-nacl)#deny ip 0.0.0.0 0.255.255.255
(config-std-nacl)#deny ip host 255.255.255.255

Тестовая подсеть тоже едет в газенваген.

Code
(config-std-nacl)#deny ip 192.0.2.0 0.0.0.255

На последок отправляем в газенваген адреса зарезервированные IANA или так называемые bogons адреса:

Code
(config-std-nacl)#deny ip 1.0.0.0 0.255.255.255
...

В конце статьи вы сможете скачать полный список bogons адресов. Загоняется в маршрутизатор скриптом. Их просто оооочень много, поэтому тут не перечислить.
Теперь ставим эти правила на интерфейс

Code
(config-std-nacl)#exit
(config)#interface E0/0
(config-if)ip access-group 20 in
Прикрепления: bogons-cidr-all.7z (17.8 Kb)


bda-expert.ru — это система форумов, где можно общаться быстро и свободно, где любая точка зрения имеет право на жизнь.

Сообщение отредактировал eXceed - Вторник, 03.06.2008, 18:37
 
eXceedДата: Вторник, 03.06.2008, 18:37 | Сообщение # 2
Генералиссимус
Группа: Гости
Сообщений: 5466
Репутация: 616
Статус: Offline
С таким же успехом можно было отвралять левые пакеты на Null0 интерфейс, но это даст большую нагрузку на маршрутизатор.

Защита от DDoS

Теорию я писать не буду. Перейду к делу.
Самым эффективным методом является ограничение пропускной способности по интерфейсам.
Предположим, что канал 1 мегабит. Ограничим трафик так ICMP - 50 Kbit/s, UDP - 200 Kbit/s

Code
interface E0/0
rate-limit input access-group 150 201000 25000 25000 conform-action transmit exceed-action drop
rate-limit input access-group 160 50000 6250 6250 conform-action transmit exceed-action drop

ACL выглядят так:

Code

acces-list 150 permit udp any any
acces-list 160 permit icmp any any

Для защиты от вещей типа TCP SYN Flood существуют интерсепторы(курим маны Cisco, ибо описание принципа работы слишком большое)

Настраивается просто

Code
!
ip tcp intercept list 101
!
access-list 101 permit tcp any 172.17.2.0 0.0.0.255

Комплексная защита сети

Для комплексной защиты сети я использую CBAC. Система позволяет работать с тем, что не отфильтровали списки доступа.

Принцип основан ра распознавании и работе со состояниями related/established

Для начала определяют правила CBAC.

Code
ip inspect name mainrule ftp
ip inspect name mainrule http
ip inspect name mainrule realaudio
ip inspect name mainrule realvideo
ip inspect name mainrule h323
ip inspect name mainrule smtp
ip inspect name mainrule tftp
ip inspect name mainrule udp
ip inspect name mainrule tcp

Затем применяют правило на интерфейс E0/1

Code
!
ip inspect mainrule in

Далее определяют списки доступа которые будут фильтровать соединения из внешней сети во внутрь.
Ставим его на E0/1 на in

Code
!
ip access-group 111 in
!

access-list 111 deny ip 172.17.2.0 0.0.0.255 any
access-list 111 permit igrp any any
(CBAC сюда будет вносить правила доступа)
...
далее оставляем для администратора разрешения на использования протоколов.

Вот так вот можно описать коротко настройку фильтрующего, защищенного маршрутизатора. Именно с такой настройкой Cisco AS 3845 работает в СГУ.
Все вопросы можно задать здесь. В будущем будут еще статьи.


bda-expert.ru — это система форумов, где можно общаться быстро и свободно, где любая точка зрения имеет право на жизнь.

Сообщение отредактировал eXceed - Вторник, 03.06.2008, 18:48
 
  • Страница 1 из 1
  • 1
Поиск:

close