RPF de unidifusión en perfiles dinámicos para interfaces de suscriptor
RPF de unidifusión en perfiles dinámicos para interfaces de suscriptor
El reenvío de unidifusión de ruta inversa (RPF) proporciona una manera de reducir el efecto de los ataques de denegación de servicio (DS) y de denegación de servicio distribuido (DDoS) en interfaces IPv4 e IPv6. Cuando se configura RPF de unidifusión en una interfaz, comprueba la dirección de origen del paquete. Los paquetes que pasan la comprobación se reenvían. Los paquetes que no superan la comprobación se descartan o, si se configura un filtro de error, se pasan al filtro para una evaluación adicional.
Unicast RPF tiene dos modos de comportamiento, estricto y flexible. Cuando se configura RPF de unidifusión en un perfil dinámico, el modo estricto es el predeterminado. En el modo estricto, RPF de unidifusión comprueba si la dirección de origen del paquete entrante coincide con un prefijo de la tabla de enrutamiento y si la interfaz espera recibir un paquete con este prefijo de dirección de origen. En el modo flexible, RPF de unidifusión solo comprueba si la dirección de origen tiene una coincidencia en la tabla de enrutamiento. No comprueba si la interfaz espera recibir un paquete de una dirección de origen específica.
Para ambos modos, cuando un paquete entrante no supera la comprobación de RPF de unidifusión, el paquete no se acepta en la interfaz. En su lugar, RPF de unidifusión cuenta el paquete y lo envía a un filtro de error opcional, si está presente. El filtro de error determina qué otra acción se realiza en el paquete. En ausencia de un filtro de fallas, el paquete se descarta silenciosamente.
- El contador de paquetes no es compatible con Junos OS Evolved.
- En el Junos OS Evolved, no necesita un filtro de fallas, ya que el sistema impide la caída de paquetes del protocolo de arranque (BOOTP) y del protocolo de configuración dinámica de host (DHCP) durante la comprobación de RPF.
El show interfaces statistics logical-interface-name detail comando muestra estadísticas RPF de unidifusión para interfaces lógicas dinámicas cuando está rpf-check habilitado o rpf-check mode loose está habilitado en la interfaz. No se muestran estadísticas adicionales cuando rpf-check fail-filter filter-name se configura en la interfaz. El clear interfaces statistics logical-interface-name comando borra las estadísticas de RPF.
Configuración de RPF de unidifusión en perfiles dinámicos para interfaces de suscriptor
El RPF de unidifusión proporciona una manera de reducir el efecto de los ataques de denegación de servicio en las interfaces IPv4 e IPv6 al comprobar la dirección IP de origen con la tabla de enrutamiento. Los paquetes que no coinciden se descartan silenciosamente, a menos que se configure un filtro de error opcional. El filtro de errores realiza una comprobación adicional y ordena que se realice alguna acción en determinados paquetes. Las acciones típicas incluyen registrar los paquetes o pasarlos aunque no hayan superado la comprobación de RPF.
Aunque el filtro de error es técnicamente opcional, para los perfiles dinámicos de un entorno DHCP debe configurar un filtro para pasar paquetes DHCP. De forma predeterminada, la comprobación RPF impide que se acepten paquetes DHCP en interfaces protegidas por la comprobación RPF. El filtro de errores identifica los paquetes DHCP y los pasa.
Para configurar una comprobación de RPF de unidifusión en un perfil dinámico:
Configuración de un filtro de errores para RPF de unidifusión en perfiles dinámicos para interfaces de suscriptor
En este tema se describe cómo configurar un filtro de errores en el nivel de [edit firewall] jerarquía que se puede aplicar opcionalmente mediante RPF de unidifusión para interfaces de suscriptor en perfiles dinámicos en enrutadores de la serie MX.
A diferencia de los filtros de error configurados estáticamente, los filtros de error de comprobación de RPF utilizados en un perfil dinámico no pueden ser específicos de una interfaz en particular.
Para configurar un filtro de errores de firewall:
Ejemplo: Configuración de RPF de unidifusión en un perfil dinámico en enrutadores de la serie MX
En este ejemplo, se muestra cómo ayudar a defender las interfaces de entrada del enrutador contra ataques de denegación de servicio (DS) y de denegación de servicio distribuido (DDoS) mediante la configuración del reenvío de ruta inversa de unidifusión (RPF) en una interfaz de borde del cliente para filtrar el tráfico entrante. RPF de unidifusión verifica la dirección de origen de unidifusión de cada paquete que llega a una interfaz de entrada donde está habilitada la RPF de unidifusión. Los paquetes que no superan la comprobación se descartan silenciosamente, a menos que un filtro de errores realice alguna otra acción en ellos.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de software y hardware:
Una plataforma de enrutamiento universal 5G de la serie MX
Antes de empezar:
Configure el perfil dinámico que desea utilizar para aplicar la comprobación de RPF.
Descripción general
Grandes cantidades de tráfico no autorizado, como intentos de inundar una red con solicitudes de servicio falsas en un ataque de denegación de servicio (DS), pueden consumir recursos de red y negar el servicio a usuarios legítimos. Una manera de ayudar a prevenir los ataques DS y de denegación de servicio distribuido (DDoS) es verificar que el tráfico entrante se origine en fuentes de red legítimas.
El RPF de unidifusión ayuda a garantizar que un origen de tráfico sea legítimo (autorizado) al comparar la dirección de origen de cada paquete que llega a una interfaz con la entrada de la tabla de reenvío para su dirección de origen. Si el enrutador utiliza la misma interfaz en la que llegó el paquete para responder al origen del paquete, esto verifica que el paquete se originó en un origen autorizado y el enrutador reenvía el paquete. Si el enrutador no utiliza la misma interfaz en la que llegó el paquete para responder al origen del paquete, es posible que el paquete se haya originado en un origen no autorizado y el enrutador descarte el paquete o lo pase a un filtro de errores.
El filtro de error le permite establecer criterios para los paquetes que desea que se pasen a pesar de fallar la comprobación de RPF, como los paquetes DHCP, que se descartan de forma predeterminada.
En enrutadores de la serie MX, puede configurar RPF de unidifusión en un perfil dinámico para aplicar la configuración a una o más interfaces de suscriptor. Consulte Descripción de RPF de unidifusión (enrutadores) para obtener más información acerca del comportamiento y las limitaciones de RPF de unidifusión en enrutadores de la serie MX.
En este ejemplo, se configura el enrutador para que proteja contra posibles ataques DS y DDoS desde Internet perpetrados a través de paquetes IPv4 que llegan a interfaces VLAN demux creadas dinámicamente. El perfil dinámico, vlan-demux-prof, establece que las interfaces VLAN demux se crean automáticamente para los suscriptores. El término rpf de unidifusión se habilita en las interfaces dinámicas mediante el término rpf-check.
De forma predeterminada, el RPF de unidifusión impide que se acepten paquetes DHCP (Dynamic Host Configuration Protocol) en las interfaces a las que se aplica. Cuando se descartan los paquetes DHCP, el perfil dinámico no puede crear nuevos suscriptores. Para permitir que las interfaces acepten paquetes DHCP, debe aplicar un filtro de errores que clasifique correctamente los paquetes que no superan la comprobación e identifique los paquetes DHCP. En este ejemplo, configure el allow-dhcp término en el filtro rpf-pass-dhcp. Este término coincide, cuenta y acepta paquetes IPv4 destinados al puerto DHCP y cualquier dirección. Descarta default term todos los demás paquetes que no pasan la comprobación de RPF.
En este ejemplo, no se muestran todas las opciones de configuración posibles.
Topología
Configuración
Para habilitar RPF de unidifusión con un filtro de error en un perfil dinámico, realice estas tareas:
- Configuración del perfil dinámico para aplicar la comprobación de RPF a interfaces demux de VLAN dinámica
- Configuración del filtro de fallas de comprobación de RPF
Configuración del perfil dinámico para aplicar la comprobación de RPF a interfaces demux de VLAN dinámica
Configuración rápida de CLI
Para configurar rápidamente el perfil dinámico a fin de aplicar RPF de unidifusión a interfaces demux VLAN creadas dinámicamente, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea y, luego, copie y pegue los comandos en la CLI.
edit dynamic-profiles vlan-demux-prof interfaces demux0 edit unit $junos-interface-unit set demux-options underlying-interface $junos-interface-ifd-name set vlan-id $junos-vlan-id edit family inet set unnumbered-address lo0.0 set rpf-check fail-filter rpf-pass-dhcp
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar RPF de unidifusión en el enrutador:
Cree un perfil dinámico.
[edit] user@host# edit dynamic-profiles vlan-demux-prof
Especifique que el perfil de VLAN dinámico utilice la interfaz demux.
[edit dynamic-profiles vlan-demux-prof] user@host# edit interfaces demux0
Especifique que el perfil dinámico aplique el valor de unidad de interfaz demux a las VLAN dinámicas.
[edit dynamic-profiles vlan-demux-prof interfaces demux0] user@host# edit unit $junos-interface-unit
Especifique la interfaz lógica subyacente para las VLAN dinámicas.
[edit dynamic-profiles vlan-demux-prof interfaces demux0 unit $junos-interface-unit] user@host# set demux-options underlying-interface $junos-interface-ifd-name
Configure la variable que da como resultado ID de VLAN creados dinámicamente.
[edit dynamic-profiles vlan-demux-prof interfaces demux0 unit $junos-interface-unit] user@host# set vlan-id $junos-vlan-id
Configure la familia de direcciones IPv4 para las interfaces demux.
[edit dynamic-profiles vlan-demux-prof interfaces demux0 unit $junos-interface-unit] user@host# edit family inet
Configure la dirección no numerada de la familia.
[edit dynamic-profiles vlan-demux-prof interfaces demux0 unit $junos-interface-unit family inet] user@host# set unnumbered-address lo0.0
Configure RPF de unidifusión y especifique el filtro de error que se aplica a los paquetes entrantes que no superan la comprobación.
[edit dynamic-profiles vlan-demux-prof interfaces demux0 unit $junos-interface-unit family inet] user@host# set fail-filter fail-filter rpf-pass-dhcp
Configuración del filtro de fallas de comprobación de RPF
Configuración rápida de CLI
Para configurar rápidamente el filtro de error de comprobación RPF de unidifusión, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea y, luego, copie y pegue los comandos en la CLI.
edit firewall family inet filter rpf-pass-dhcp edit term allow-dhcp set from destination-port dhcp set from destination-address 255.255.255.255/32 set then count rpf-dhcp-traffic set then accept up edit term default set then discard
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar el filtro de error de comprobación de RPF:
Cree el filtro de error.
[edit firewall] user@host# edit family inet filter rpf-pass-dhcp
Defina el término de filtro que identifica los paquetes DHCP según el puerto de destino DHCP y, a continuación, cuente y pase los paquetes.
[edit firewall family inet filter rpf-pass-dhcp] user@host# edit term allow-dhcp user@host# set from destination-port dhcp user@host# set from destination-address 255.255.255.255/32 user@host# set then count rpf-dhcp-traffic user@host# set then accept
Defina el término de filtro que descarta todos los demás paquetes con errores.
[edit firewall filter rpf-pass-dhcp] user@host# edit term default user@host# set then discard
Resultados
Desde el modo de configuración, ingrese el show dynamic-profiles comando para confirmar la configuración de RPF de unidifusión. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.
[edit]
user@host# show dynamic-profiles
vlan-demux-prof {
interfaces {
demux0 {
unit "$junos-interface-unit" {
vlan-id "$junos-vlan-id";
demux-options {
underlying-interface "$junos-interface-ifd-name";
}
family inet {
unnumbered-address lo0.0;
rpf-check {
fail-filter rpf-pass-dhcp;
}
}
}
}
}
}
Desde el modo de configuración, ingrese el comando para confirmar la configuración del show firewall filtro de fallas. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.
[edit]
user@host# show firewall
family inet {
filter rpf-pass-dhcp {
term allow-dhcp {
from {
destination-address {
255.255.255.255/32;
}
destination-port dhcp;
}
then {
count rpf-dhcp-traffic;
accept;
}
}
term default {
then {
discard;
}
}
}
}
Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Para confirmar que la configuración es correcta, realice las siguientes tareas:
Verificar que la RPF de unidifusión esté habilitada en el enrutador
Propósito
Compruebe que la RPF de unidifusión está habilitada.
Acción
Compruebe que la RPF de unidifusión está habilitada mediante el show subscribers extensive comando.
user@host> show subscribers extensive
Type: VLAN
Logical System: default
Routing Instance: default
Interface: ae0.1073741824
Interface type: Dynamic
Dynamic Profile Name: vlan-demux-prof
State: Active
Session ID: 9
VLAN Id: 100
Login Time: 2011-08-26 08:17:00 PDT
IPv4 rpf-check Fail Filter Name: rpf-pass-dhcp
Significado
El campo Nombre del filtro de error de comprobación rpf-de IPv4 muestra rpf-pass-dhcp, el nombre del filtro de error aplicado por el perfil dinámico para los paquetes IPv4 que no superan la comprobación de RPF.
Tabla de historial de cambios
La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.
show interfaces statistics logical-interface-name detail comando muestra estadísticas RPF de unidifusión para interfaces lógicas dinámicas cuando está
rpf-check habilitado o
rpf-check mode loose en la interfaz.