RPF unicast em perfis dinâmicos para interfaces de assinantes
RPF unicast em perfis dinâmicos para interfaces de assinantes
O encaminhamento de caminho reverso (RPF) da Unicast fornece uma maneira de reduzir o efeito da negação de serviço (DoS) e dos ataques de negação de serviço (DDoS) distribuídos nas interfaces IPv4 e IPv6. Quando você configura RPF unicast em uma interface, ele verifica o endereço de origem do pacote. Os pacotes que passam pela verificação são encaminhados. Os pacotes que falham na verificação são descartados ou, se um filtro de falha estiver configurado, são passados para o filtro para avaliação posterior.
O Unicast RPF tem dois modos de comportamento, rigorosos e soltos. Quando você configura RPF unicast em um perfil dinâmico, o modo rigoroso é o padrão. No modo rigoroso, o RPF unicast verifica se o endereço de origem do pacote de entrada corresponde a um prefixo na tabela de roteamento e se a interface espera receber um pacote com este prefixo de endereço de origem. No modo frouxo, o RPF unicast verifica apenas se o endereço de origem tem uma correspondência na tabela de roteamento. Ele não verifica se a interface espera receber um pacote de um endereço de origem específico.
Para ambos os modos, quando um pacote de entrada falha na verificação de RPF unicast, o pacote não é aceito na interface. Em vez disso, o RPF unicast conta o pacote e o envia para um filtro de falha opcional, se presente. O filtro de falha determina quais medidas adicionais são tomadas no pacote. Na ausência de um filtro de falha, o pacote é descartado silenciosamente.
A partir do Junos OS Release 19.1R1, o show interfaces statistics logical-interface-name detail
comando exibe estatísticas de RPF unicast para interfaces lógicas dinâmicas quando rpf-check mode loose
rpf-check
ativadas na interface. Não são exibidas estatísticas adicionais quando rpf-check fail-filter filter-name
configuradas na interface. O clear interfaces statistics logical-interface-name
comando libera as estatísticas de RPF.
Configuração do Unicast RPF em perfis dinâmicos para interfaces de assinantes
O Unicast RPF fornece uma maneira de reduzir o efeito de ataques de negação de serviço nas interfaces IPv4 e IPv6 verificando o endereço IP de origem na tabela de roteamento. Os pacotes que não combinam são descartados silenciosamente, a menos que um filtro de falha opcional seja configurado. O filtro de falha executa uma verificação adicional e direciona que algumas medidas sejam tomadas em determinados pacotes. Ações típicas incluem registrar os pacotes ou passá-los mesmo que eles falharam na verificação do RPF.
Embora o filtro de falha seja tecnicamente opcional, para perfis dinâmicos em um ambiente DHCP, você deve configurar um filtro para passar pacotes DHCP. Por padrão, a verificação de RPF impede que pacotes DHCP sejam aceitos em interfaces protegidas pela verificação de RPF. O filtro de falha identifica os pacotes DHCP e os passa.
Para configurar uma verificação de RPF unicast em um perfil dinâmico:
Configuração de um filtro de falha para RPF unicast em perfis dinâmicos para interfaces de assinantes
Este tópico descreve como configurar um filtro de falha no nível de [edit firewall]
hierarquia que pode ser aplicado opcionalmente pelo RPF unicast para interfaces de assinantes em perfis dinâmicos em roteadores da Série MX.
Em contraste com filtros de falha configurados estaticamente, os filtros de falha de verificação de RPF usados em um perfil dinâmico não podem ser específicos para uma interface específica.
Para configurar um filtro de falha de firewall:
Exemplo: configurar o Unicast RPF em um perfil dinâmico em roteadores da Série MX
Este exemplo mostra como ajudar a defender as interfaces de entrada do roteador contra ataques de negação de serviço (DoS) e negação de serviço distribuída (DDoS), configurando o encaminhamento de caminho reverso (RPF) unicast em uma interface de borda do cliente para filtrar o tráfego de entrada. O Unicast RPF verifica o endereço de origem unicast de cada pacote que chega em uma interface de ingresso onde o RPF unicast é habilitado. Os pacotes que falham na verificação são descartados silenciosamente, a menos que um filtro de falha execute alguma outra ação sobre eles.
Requisitos
Este exemplo usa os seguintes componentes de software e hardware:
Uma plataforma de roteamento universal 5G da Série MX
Antes de começar:
Configure o perfil dinâmico que você pretende usar para aplicar a verificação de RPF.
Visão geral
Grandes quantidades de tráfego não autorizado — como tentativas de inundar uma rede com solicitações de serviço falsas em um ataque de negação de serviço (DoS) — podem consumir recursos de rede e negar serviço a usuários legítimos. Uma maneira de ajudar a evitar o DoS e ataques distribuídos de negação de serviço (DDoS) é verificar se o tráfego recebido se origina de fontes de rede legítimas.
O Unicast RPF ajuda a garantir que uma fonte de tráfego seja legítima (autorizada) comparando o endereço de origem de cada pacote que chega em uma interface à entrada da tabela de encaminhamento para seu endereço de origem. Se o roteador usar a mesma interface em que o pacote chegou para responder à fonte do pacote, isso verifica se o pacote se originou de uma fonte autorizada e o roteador encaminha o pacote. Se o roteador não usar a mesma interface em que o pacote chegou para responder à origem do pacote, o pacote pode ter se originado de uma fonte não autorizada, e o roteador descartar o pacote ou passá-lo para um filtro de falha.
O filtro de falha permite definir critérios para pacotes que você deseja passar, apesar de falhar na verificação de RPF, como pacotes DHCP, que são descartados por padrão.
Nos roteadores da Série MX, você pode configurar RPF unicast em um perfil dinâmico para aplicar a configuração a uma ou mais interfaces de assinantes. Consulte o Understanding Unicast RPF (Roteadores) para obter mais informações sobre o comportamento e as limitações do RPF unicast nos roteadores da Série MX.
Neste exemplo, você configura o roteador para proteger contra potenciais ataques DoS e DDoS da Internet perpetrados por pacotes IPv4 que chegam em interfaces de demux VLAN criadas dinamicamente. O perfil dinâmico, vlan-demux-prof, estabelece que as interfaces de demux VLAN são criadas automaticamente para assinantes. O Unicast RPF é habilitado nas interfaces dinâmicas pelo termo rpf-check.
Por padrão, o RPF unicast impede que pacotes de protocolo de configuração de host dinâmico (DHCP) sejam aceitos em interfaces às quais ele se aplica. Quando os pacotes DHCP são descartados, nenhum novo assinante pode ser criado pelo perfil dinâmico. Para permitir que as interfaces aceitem pacotes DHCP, você deve aplicar um filtro de fail que classifica corretamente os pacotes que falham na verificação e identifica os pacotes DHCP. Neste exemplo, você configura o allow-dhcp
termo no filtro rpf-pass-dhcp
. Este termo combina, conta e aceita pacotes IPv4 destinados à porta DHCP e a qualquer endereço. Os default term
derruba todos os outros pacotes que falham na verificação de RPF.
Este exemplo não mostra todas as opções de configuração possíveis.
Topologia
Configuração
Para habilitar RPF unicast com um filtro de falha em um perfil dinâmico, execute essas tarefas:
- Configurando o perfil dinâmico para aplicar verificação de RPF em interfaces VLAN demux dinâmicas
- Configurando o filtro de falha de verificação de RPF
Configurando o perfil dinâmico para aplicar verificação de RPF em interfaces VLAN demux dinâmicas
Configuração rápida da CLI
Para configurar rapidamente o perfil dinâmico para aplicar RPF unicast a interfaces de demux VLAN criadas dinamicamente, copiar os seguintes comandos, cole-os em um arquivo de texto, remover quaisquer quebras de linha e, em seguida, copiar e colar os comandos no CLI.
edit dynamic-profiles vlan-demux-prof interfaces demux0 edit unit $junos-interface-unit set demux-options underlying-interface $junos-interface-ifd-name set vlan-id $junos-vlan-id edit family inet set unnumbered-address lo0.0 set rpf-check fail-filter rpf-pass-dhcp
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração.
Para configurar RPF unicast no roteador:
Crie um perfil dinâmico.
[edit] user@host# edit dynamic-profiles vlan-demux-prof
Especifique que o perfil VLAN dinâmico use a interface de demux.
[edit dynamic-profiles vlan-demux-prof] user@host# edit interfaces demux0
Especifique que o perfil dinâmico aplica o valor unitário da interface de demux às VLANs dinâmicas.
[edit dynamic-profiles vlan-demux-prof interfaces demux0] user@host# edit unit $junos-interface-unit
Especifique a interface lógica subjacente para as VLANs dinâmicas.
[edit dynamic-profiles vlan-demux-prof interfaces demux0 unit $junos-interface-unit] user@host# set demux-options underlying-interface $junos-interface-ifd-name
Configure a variável que resulta em IDs VLAN criados dinamicamente.
[edit dynamic-profiles vlan-demux-prof interfaces demux0 unit $junos-interface-unit] user@host# set vlan-id $junos-vlan-id
Configure a família de endereços IPv4 para as interfaces de demux.
[edit dynamic-profiles vlan-demux-prof interfaces demux0 unit $junos-interface-unit] user@host# edit family inet
Configure o endereço nãonumerado para a família.
[edit dynamic-profiles vlan-demux-prof interfaces demux0 unit $junos-interface-unit family inet] user@host# set unnumbered-address lo0.0
Configure o RPF unicast e especifique o filtro de falha aplicado a pacotes de entrada que falham na verificação.
[edit dynamic-profiles vlan-demux-prof interfaces demux0 unit $junos-interface-unit family inet] user@host# set fail-filter fail-filter rpf-pass-dhcp
Configurando o filtro de falha de verificação de RPF
Configuração rápida da CLI
Para configurar rapidamente o filtro de falha de verificação de RPF unicast, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha e, em seguida, copie e cole os comandos na CLI.
edit firewall family inet filter rpf-pass-dhcp edit term allow-dhcp set from destination-port dhcp set from destination-address 255.255.255.255/32 set then count rpf-dhcp-traffic set then accept up edit term default set then discard
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração.
Para configurar o filtro de falha de verificação de RPF:
Crie o filtro de falha.
[edit firewall] user@host# edit family inet filter rpf-pass-dhcp
Defina o termo filtro que identifica pacotes DHCP com base na porta de destino DHCP, depois conta e passa os pacotes.
[edit firewall family inet filter rpf-pass-dhcp] user@host# edit term allow-dhcp user@host# set from destination-port dhcp user@host# set from destination-address 255.255.255.255/32 user@host# set then count rpf-dhcp-traffic user@host# set then accept
Defina o termo filtro que derruba todos os outros pacotes com falha.
[edit firewall filter rpf-pass-dhcp] user@host# edit term default user@host# set then discard
Resultados
A partir do modo de configuração, confirme a configuração de RPF unicast entrando no show dynamic-profiles
comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host# show dynamic-profiles vlan-demux-prof { interfaces { demux0 { unit "$junos-interface-unit" { vlan-id "$junos-vlan-id"; demux-options { underlying-interface "$junos-interface-ifd-name"; } family inet { unnumbered-address lo0.0;rpf-check {
fail-filter rpf-pass-dhcp;
}
} } } } }
A partir do modo de configuração, confirme a configuração do filtro de falha entrando no show firewall
comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host# show firewall family inet { filter rpf-pass-dhcp { term allow-dhcp { from { destination-address { 255.255.255.255/32; } destination-port dhcp; } then { count rpf-dhcp-traffic; accept; } } term default { then { discard; } } } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Para confirmar se a configuração está correta, execute essas tarefas:
Verificando se o Unicast RPF está habilitado no roteador
Propósito
Verifique se o RPF unicast está habilitado.
Ação
Verifique se o RPF unicast está habilitado usando o show subscribers extensive
comando.
user@host> show subscribers extensive
Type: VLAN
Logical System: default
Routing Instance: default
Interface: ae0.1073741824
Interface type: Dynamic
Dynamic Profile Name: vlan-demux-prof
State: Active
Session ID: 9
VLAN Id: 100
Login Time: 2011-08-26 08:17:00 PDT
IPv4 rpf-check Fail Filter Name: rpf-pass-dhcp
Significado
O campo de nome do filtro de falha IPv4 rpf-check é exibido rpf-pass-dhcp
, o nome do filtro de falha aplicado pelo perfil dinâmico para pacotes IPv4 que falham na verificação de RPF.
show interfaces statistics logical-interface-name detail
comando exibe estatísticas de RPF unicast para interfaces lógicas dinâmicas quando
rpf-check mode loose
rpf-check
ativadas na interface.