Filtragem de mensagens GTPv1
Um pacote GTP contém um corpo de mensagens e o GTP, UDP e os cabeçalhos IP. Um pacote GTP é passado ou descartado com base nos filtros de mensagem GTP. As mensagens GTP são filtradas com base no comprimento da mensagem e no tipo de mensagem.
Entender a filtragem de mensagens GTP
Quando o dispositivo recebe um pacote de protocolo de tunelamento GPRS (GTP), ele verifica o pacote contra políticas configuradas no dispositivo. Se o pacote corresponde a uma política, o dispositivo inspeciona o pacote de acordo com a configuração GTP aplicada à política. Se o pacote não atender a nenhum dos parâmetros de configuração GTP, o dispositivo passará ou soltará os pacotes com base na configuração do objeto de inspeção GTP.
Um pacote GTP consiste no corpo de mensagens e três cabeçalhos: GTP, UDP e IP. Se o pacote IP resultante for maior do que a unidade de transmissão máxima (MTU) no enlace de transferência, o nó de suporte para GPRS (SGSN) ou o nó de suporte para GATEWAY GPRS (GGSN) realizará uma fragmentação de IP.
Por padrão, o dispositivo buffers IP fragmenta até receber uma mensagem GTP completa e, em seguida, inspeciona a mensagem GTP.
Entender a filtragem de comprimento de mensagem GTP
Você pode configurar o dispositivo para soltar pacotes que não atendem aos seus comprimentos de mensagem mínimos ou máximos especificados. No cabeçalho do protocolo de tunelamento GPRS (GTP), o campo de comprimento da mensagem indica o comprimento, em octetes, da carga de carga GTP. Ele não inclui o comprimento do cabeçalho GTP em si, o cabeçalho UDP ou o cabeçalho IP. Os comprimentos de mensagem GTP mínimos e máximos padrão são de 0 e 65.535 bytes, respectivamente.
Entender a filtragem do tipo de mensagem GTP
Você pode configurar o dispositivo para filtrar pacotes de protocolo de tunelamento GPRS (GTP) e permitir ou negá-los com base no tipo de mensagem. Por padrão, o dispositivo permite todos os tipos de mensagens GTP.
Um tipo de mensagem GTP inclui uma ou muitas mensagens. Quando você permite ou nega um tipo de mensagem, você permite ou nega automaticamente todas as mensagens do tipo especificado. Por exemplo, se você selecionar soltar o tipo de mensagem de contexto sgsn, você solta mensagens de reconhecimento de contexto sgsn, sgsn-context-response e sgsn-context-acknowledge.
Você permite e nega tipos de mensagem com base no número da versão GTP. Por exemplo, você pode negar tipos de mensagem para uma versão enquanto permite que eles para a outra versão.
Exemplo: definir a filtragem de comprimento de mensagem GTP
Este exemplo mostra como definir os comprimentos das mensagens GTP.
Requisitos
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.
Visão geral
Neste exemplo, você configura o comprimento mínimo de mensagem GTP para 8 octets e o comprimento máximo de mensagem GTP para 1200 octets para o objeto de inspeção GTP.
Configuração
Procedimento
Procedimento passo a passo
Para configurar os comprimentos da mensagem GTP:
Especifique o perfil GTP.
[edit] user@host# set security gprs gtp profile gtp1
Especifique o comprimento mínimo da mensagem.
[edit] user@host# set security gprs gtp profile gtp1 min-message-length 8
Especifique o comprimento máximo da mensagem.
[edit] user@host# set security gprs gtp profile gtp1 max-message-length 1200
Se você terminar de configurar o dispositivo, comprometa a configuração.
[edit] user@host# commit
Verificação
Para verificar se a configuração está funcionando corretamente, entre no show security gprs
comando.
Tipos de mensagem GTP suportados
A Tabela 1 lista as mensagens GTP suportadas nas versões GTP de 1997 e 1999 (incluindo o carregamento de mensagens para GTP) e os tipos de mensagem que você pode usar para configurar a filtragem do tipo de mensagem GTP.
Mensagem |
Tipo de mensagem |
Versão 0 |
Versão 1 |
---|---|---|---|
criar solicitação de contexto AA pdp |
create-aa-pdp |
B |
|
criar uma resposta de contexto AA pdp |
create-aa-pdp |
B |
|
criar solicitação de contexto pdp |
create-pdp |
B |
B |
criar resposta ao contexto pdp |
create-pdp |
B |
B |
solicitação de registro de dados |
registro de dados |
B |
B |
resposta ao registro de dados |
registro de dados |
B |
B |
exclua a solicitação de contexto aa pdp |
delete-aa-pdp |
B |
|
exclua a resposta ao contexto do AA pdp |
delete-aa-pdp |
B |
|
excluir solicitação de contexto pdp |
delete-pdp |
B |
B |
exclua a resposta ao contexto do pdp |
delete-pdp |
B |
B |
solicitação de eco |
Eco |
B |
B |
resposta de eco |
Eco |
B |
B |
indicação de erro |
indicação de erro |
B |
B |
Solicitação de relatório de falha |
relatório de falha |
B |
B |
resposta ao relatório de falha |
relatório de falha |
B |
B |
solicitação de realocação antecipada |
relocação fwd |
B |
B |
resposta à realocação para o futuro |
relocação fwd |
B |
B |
relocação avançada completa |
relocação fwd |
B |
B |
reconhecimento completo da realocação |
relocação fwd |
B |
B |
contexto srns para a frente |
contexto fwd-srns |
B |
B |
reconhecimento de contexto SRNS |
contexto fwd-srns |
B |
B |
solicitação de identificação |
Identificação |
B |
B |
resposta à identificação |
Identificação |
B |
B |
solicitação de nó vivo |
nó vivo |
B |
B |
resposta ao nó vivo |
nó vivo |
B |
B |
observe a solicitação de presente do MS GPRS |
note-ms-present |
B |
B |
observação MS GPRS apresentar resposta |
note-ms-present |
B |
B |
solicitação de notificação de pdu |
pdu-notificação |
B |
B |
resposta à notificação de pdu |
pdu-notificação |
B |
B |
solicitação de rejeição de notificação de pdu |
pdu-notificação |
B |
B |
resposta de rejeição de notificação de pdu |
pdu-notificação |
B |
B |
Retransmissão de informações de RAN |
ran-info |
B |
B |
solicitação de redirecionamento |
Redirecionamento |
B |
B |
resposta ao redirecionamento |
Redirecionamento |
B |
B |
solicitação de cancelamento de realocação |
cancelamento de realocação |
B |
B |
resposta de cancelamento de realocação |
cancelamento de realocação |
B |
B |
enviar solicitação de informações de rota |
rota de envio |
B |
B |
enviar resposta às informações de rota |
rota de envio |
B |
B |
solicitação de contexto sgsn |
contexto sgsn |
B |
B |
resposta ao contexto sgsn |
contexto sgsn |
B |
B |
reconhecimento do contexto da sgsn |
contexto sgsn |
B |
B |
notificação de cabeçalhos de extensão suportados |
extensão suportada |
B |
B |
g-pdu |
gtp-pdu |
B |
B |
atualizar solicitação de contexto pdp |
pdp de atualização |
B |
B |
resposta de contexto pdp atualizada |
pdp de atualização |
B |
B |
versão não suportada |
não suportada por versão |
B |
B |
Exemplo: filtragem de tipos de mensagens GTP
Este exemplo mostra como permitir e negar tipos de mensagens GTP.
Requisitos
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.
Visão geral
Neste exemplo, para o perfil gtp1, você configura o dispositivo para soltar os tipos de mensagem de indicação de erro e de relatório de falha para a versão 1.
Configuração
Procedimento
Procedimento passo a passo
Permitir e negar tipos de mensagem GTP:
Configure o dispositivo.
[edit] user@host# set security gprs gtp profile gtp1
Solte a indicação de erro.
[edit] user@host# set security gprs gtp profile gtp1 drop error-indication 1
Deixe cair as mensagens de relatório de falha.
[edit] user@host# set security gprs gtp profile gtp1 drop failure-report 1
Se você terminar de configurar o dispositivo, comprometa a configuração.
[edit] user@host# commit
Verificação
Para verificar se a configuração está funcionando corretamente, entre no show security gprs
comando.
Entender o limite de taxa para mensagens de controle GTP
Você pode configurar o dispositivo para limitar a taxa de tráfego de rede que vai para um nó de suporte para GPRS (GSN). Você pode definir limites separados, em pacotes por segundo, para mensagens de protocolo de tunelamento GGSN, controle (GTP-C). Como as mensagens GTP-C exigem processamento e respostas, elas podem potencialmente sobrecarregar uma GSN. Ao definir um limite de taxa nas mensagens GTP-C, você pode proteger suas GSNs contra possíveis ataques de negação de serviço (DoS), como o seguinte:
Saturação de largura de banda de gateway de borda — um operador mal-intencionado conectado ao mesmo GPRS Roaming Exchange (GRX) que sua rede móvel de terra pública (PLMN) pode direcionar tanto tráfego de rede em seu gateway de fronteira que o tráfego legítimo está faminto por largura de banda dentro ou fora de seu PLMN, negando assim o acesso de roaming para ou de sua rede.
Inundação GTP — o tráfego de protocolo de tunelamento GPRS (GTP) pode inundar uma GSN, forçando-a a passar seus ciclos de CPU processando dados ilegítimos. Isso pode impedir que os assinantes roaming e encaminhamento de dados para redes externas, e isso pode impedir que um Serviço geral de rádio de pacotes (GPRS) se conecte à rede.
Esse recurso limita a taxa de tráfego enviada a cada GSN a partir do dispositivo Juniper Networks. A taxa de padrão é ilimitada.
Entender o limite de taxa de caminho para mensagens de controle GTP
Você pode restringir os pacotes máximos por segundo para mensagens de controle específicas em um caminho nos dispositivos SRX1500, SRX4100, SRX4200, SRX5400, SRX5600 e SRX5800. Essas mensagens de protocolo de tunelamento GPRS (GTP) incluem create-req
, delete-req
e outras mensagens GTP. No entanto, você pode restringir o máximo de pacotes por minuto para uma echo-req
mensagem GTP.
A path-rate-limit
função controla mensagens GTP específicas nas direções avançadas e reversas. Um limiar de queda e um limiar de alarme podem ser configurados para cada mensagem de controle na direção avançada e reversa para um único caminho. Se as mensagens de controle em um caminho atingirem o limiar de alarme, um log de alarme será gerado. Se o número de mensagens de controle recebidas atingir o limiar de queda, um log de queda de pacotes é gerado e todas as outras mensagens de controle deste tipo recebidas mais tarde são retiradas.
Para controlar o tráfego de mensagens nas direções futuras e reversas, configure uma política no dispositivo de modo que a direção consistente com a política configurada seja definida como futura, e a direção oposta seja definida como reversa. Use a set security gprs gtp profile <profile-name> path-rate-limit
declaração para restringir os pacotes máximos por segundo para mensagens de controle específicas em um caminho.
Você pode configurar as opções e as rate-limit
path-rate-limit
opções ao mesmo tempo.
Exemplo: limitando a taxa de mensagem e a taxa de caminho para mensagens de controle GTP
Este exemplo mostra como limitar a taxa de mensagem e a taxa de caminho para mensagens de controle GTP. A opção rate-limit
limita as mensagens GTP por segundo e a opção path-rate-limit
controla mensagens GTP específicas nas direções avançadas e reversas.
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Dispositivo SRX5400
Versão do Junos OS 12.1X45-D10
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.
Visão geral
Neste exemplo, você limita a taxa de mensagens GTP de entrada a 300 pacotes por segundo e limita a taxa de caminho para mensagens de controle GTP nas direções futuras e reversas. Você configura o dispositivo para limitar a taxa de tráfego de rede que vai para um nó de suporte de GPRS (GSN), e restringe os pacotes máximos por segundo ou por minuto para mensagens de controle específicas em um caminho. Para create-req
, delete-req
e other
mensagens GTP você restringe os pacotes máximos por segundo. No entanto, para uma echo-req
mensagem GTP, você restringe os pacotes máximos por minuto.
A path-rate-limit
função controla mensagens GTP específicas nas direções avançadas e reversas. Configure o alarm-threshold
parâmetro para configurar o dispositivo para levantar um alarme quando as mensagens de controle GTP em um caminho atingirem o limite configurado. Configure o drop-threshold
tráfego de queda quando o número de pacotes por segundo ou por minuto exceder o limite configurado.
Configuração
Configuração rápida da CLI
Para configurar rapidamente esta seção do exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit modo de configuração.
set security gprs gtp profile gtp1 rate-limit 300 set security gprs gtp profile gtp1 path-rate-limit message-type create-req alarm-threshold forward 50 reverse 50 set security gprs gtp profile gtp1 path-rate-limit message-type delete-req alarm-threshold forward 50 reverse 50 set security gprs gtp profile gtp1 path-rate-limit message-type echo-req alarm-threshold forward 50 reverse 50 set security gprs gtp profile gtp1 path-rate-limit message-type other alarm-threshold forward 50 reverse 50 set security gprs gtp profile gtp1 path-rate-limit message-type create-req drop-threshold forward 80 reverse 80 set security gprs gtp profile gtp1 path-rate-limit message-type delete-req drop-threshold forward 80 reverse 80 set security gprs gtp profile gtp1 path-rate-limit message-type echo-req drop-threshold forward 80 reverse 80 set security gprs gtp profile gtp1 path-rate-limit message-type other drop-threshold forward 80 reverse 80
Procedimento
Procedimento passo a passo
Para configurar a taxa de mensagem GTP e o limite de taxa de caminho:
Especifique o perfil GTP.
[edit] user@host# set security gprs gtp profile gtp1
Defina o limite da taxa de mensagem GTP.
[edit security gprs gtp profile gtp1] user@host# set rate-limit 300
Especifique o tipo de mensagem para definir o limite de taxa de caminho para mensagens de controle GTP.
[edit security gprs gtp profile gtp1] user@host# set path-rate-limit message-type
Selecione tipos de mensagem de controle GTP.
[edit security gprs gtp profile gtp1] user@host# set path-rate-limit message-type create-req user@host# set path-rate-limit message-type delete-req user@host# set path-rate-limit message-type echo-req user@host# set path-rate-limit message-type other
Defina o limiar de alarme para os tipos de mensagem de controle GTP.
[edit security gprs gtp profile gtp1 path-rate-limit] user@host# set message-type create-req alarm threshold user@host# set message-type delete-req alarm threshold user@host# set message-type echo-req alarm threshold user@host# set message-type other alarm threshold
Limite as mensagens de controle na direção futura.
[edit security gprs gtp profile gtp1 path-rate-limit message-type] user@host# set create-req alarm threshold forward 50 user@host# set delete-req alarm threshold forward 50 user@host# set echo-req alarm threshold forward 50 user@host# set other alarm threshold forward 50
Limite as mensagens de controle na direção inversa.
[edit security gprs gtp profile gtp1 path-rate-limit message-type] user@host# set create-req alarm threshold reverse 50 user@host# set delete-req alarm threshold reverse 50 user@host# set echo-req alarm threshold reverse 50 user@host# set other alarm threshold reverse 50
Defina o limite de queda para os tipos de mensagem de controle GTP.
[edit security gprs gtp profile gtp1 path-rate-limit] user@host# set message-type create-req drop threshold user@host# set message-type delete-req drop threshold user@host# set message-type echo-req drop threshold user@host# set message-type other drop threshold
Limite as mensagens de controle na direção futura.
[edit security gprs gtp profile gtp1 path-rate-limit message-type] user@host# set create-req drop threshold forward 80 user@host# set delete-req drop threshold forward 80 user@host# set echo-req drop threshold forward 80 user@host# set other drop threshold forward 80
Limite as mensagens de controle na direção inversa.
[edit security gprs gtp profile gtp1 path-rate-limit message-type] user@host# set create-req drop threshold reverse 80 user@host# set delete-req drop threshold reverse 80 user@host# set echo-req drop threshold reverse 80 user@host# set other drop threshold reverse 80
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security gprs gtp profile profile-name
comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host# show security gprs gtp profile p1 rate-limit 300; path-rate-limit { message-type create-req { drop-threshold { forward 80; reverse 80; } alarm-threshold { forward 50; reverse 50; } } message-type delete-req { drop-threshold { forward 80; reverse 80; } alarm-threshold { forward 50; reverse 50; } } message-type echo-req { drop-threshold { forward 80; reverse 80; } alarm-threshold { forward 50; reverse 50; } } message-type other { drop-threshold { forward 80; reverse 80; } alarm-threshold { forward 50; reverse 50; } } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Confirme que a configuração está funcionando corretamente.
Verificando a configuração
Propósito
Verifique se a taxa de mensagem GTP e a configuração do limite de taxa de caminho estão corretas.
Ação
Do modo operacional, entre no show security gprs gtp counters path-rate-limit
comando.
Path-rate-limit counters: Drop Alarm Create Request 20 50 Delete Request 20 50 Echo Request 20 50 Others 20 50
Significado
O show security gprs gtp counters path-rate-limit
comando exibe o número de pacotes recebidos desde que o limiar de alarme ou o valor do limiar de queda foram atingidos. Se você configurar o alarm-threshold
valor como 50 e o drop-threshold
valor de 80 para a mensagem Criar Solicitação, e se o dispositivo receber 100 pacotes em um segundo ou minuto, o número de queda será de 20 e o número do Alarme será 50.
Exemplo: habilitar a validação do número da sequência GTP
Este exemplo mostra como habilitar o recurso de validação de números de sequência GTP.
Requisitos
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.
Visão geral
Neste exemplo, você define o perfil gtp como gtp1 e também habilita o recurso de validação de números de sequência.
Configuração
Procedimento
Procedimento passo a passo
Para habilitar o recurso de validação de números de sequência GTP:
Defina o perfil GTP.
[edit] user@host# set security gprs gtp profile gtp1
Habilite a validação do número da sequência.
[edit] user@host# set security gprs gtp profile gtp1 seq-number-validated
Se você terminar de configurar o dispositivo, comprometa a configuração.
[edit] user@host# commit
Verificação
Para verificar se a configuração está funcionando corretamente, entre no show security gprs
comando.