Quagga định tuyến và bảo mật

Tôi có một bộ định tuyến quagga với hai hàng xóm quá cảnh và thông báo không gian IP của riêng tôi. Gần đây tôi đã tham gia một sàn giao dịch công khai (IXP) và vì vậy tôi là một phần của mạng cục bộ của họ (/ 24), cùng với tất cả những người tham gia khác. Cho đến nay mọi thứ hoạt động tốt.

Bây giờ để bảo mật, tôi tự hỏi nếu những người tham gia khác không thể đơn giản định tuyến tất cả lưu lượng truy cập đi qua họ? Ví dụ: điều gì xảy ra nếu bất kỳ người tham gia nào khác sẽ chỉ một tuyến mặc định tới ip IXP của tôi. Nếu tôi hiểu chính xác tất cả lưu lượng truy cập đi từ người tham gia đó thì sẽ đi đến bộ định tuyến của tôi để định tuyến đến internet bằng đường lên chuyển tuyến của tôi, phải không?

Vì vậy, tôi tự hỏi nếu tôi phải thực hiện bất kỳ biện pháp chống lại nó. Ý tưởng của tôi là:

1. Thiết lập quy tắc tường lửa (iptables) để chỉ lưu lượng truy cập với đích đến của không gian IP của riêng tôi được chấp nhận từ người tham gia IXP khác. Thả bất kỳ lưu lượng truy cập khác từ những người tham gia IXP.

2. Bằng cách nào đó làm cho quagga sử dụng một bảng định tuyến kernel khác nhau cho mỗi hàng xóm (hoặc nhóm ngang hàng). Bảng định tuyến cho hàng xóm IXP sẽ không chứa bất kỳ mục nào ngoại trừ không gian IP của riêng tôi và do đó, không có định tuyến nào sử dụng đường dẫn chuyển tiếp ip của tôi sẽ xảy ra. Nhìn vào đầu ra của ip rule showchương trình quagga không làm điều này tự động?

Có phải tôi đang trên đường ray bên phải không? Tại sao 2. không được thực hiện trong Quagga trực tiếp? Làm thế nào để các bộ định tuyến phần cứng (cisco, cây bách xù, ..) đối phó với vấn đề này?

Bạn nói đúng, nếu bạn không thực hiện bất kỳ biện pháp nào thì điều này có thể xảy ra. Tôi biết đó là vi phạm chính sách sử dụng được chấp nhận của hầu hết các IXP mà tôi biết, nhưng bạn vẫn muốn ngăn chặn điều đó xảy ra.

Giải pháp đầu tiên của bạn là một điều tốt để làm và sẽ giải quyết vấn đề của bạn. Chỉ cần đảm bảo rằng bạn không theo dõi trạng thái phiên trong iptables, điều đó có thể sẽ giết chết hiệu suất hoặc thậm chí bộ định tuyến của bạn.

Bạn cũng có thể cân nhắc thực hiện lọc ra bên ngoài theo cách tương tự: không cho phép các gói rời khỏi mạng của bạn có nguồn gốc từ các nguồn không xác định. Điều này sẽ ngăn chặn các máy chủ trong mạng của bạn gửi các gói IP giả mạo, thường được sử dụng trong các cuộc tấn công DDoS.

Tôi sẽ không thực hiện giải pháp thứ hai. Nó phức tạp và không có quy mô tốt nếu bạn có nhiều bộ định tuyến xử lý quá cảnh và ngang hàng của mình hoặc nếu bạn có một số lượng lớn các phiên làm việc tiên phong (một vài lỗi trong một IXP không phải là hiếm).

Trên tất cả các nền tảng bộ định tuyến phần cứng, tôi biết vấn đề này được giải quyết trong cấu hình bằng cách định cấu hình RPF trên giao diện ngoài và / hoặc bằng cách viết các bộ lọc.

Nếu bạn đang chạy Quagga trên hộp Linux, bạn có thể bật RPF bằng cách đặt tham số kernel net.ipv4.conf.default.rp_filterthành 1 hoặc 2.

Vui lòng xem trang này để biết thêm chi tiết: http://www.slashroot.in/linux-kernel-rpfilter-sinstall-reverse-path-filtering

Theo như tôi hiểu thì bạn có 2 kết nối với các nhà cung cấp dịch vụ vận chuyển và 1 kết nối đến một điểm tiên phong, trong tình huống này tôi cho rằng bạn đang sử dụng BGP để ngang hàng với các nhà cung cấp dịch vụ vận chuyển của mình và với bộ định tuyến IXP.

Cách BGP hoạt động là những người khác chỉ có thể tiếp cận các điểm đến mà bạn quảng cáo cho họ. Vì vậy, ví dụ bạn có / 24 và bạn sẽ quảng cáo điều này đến các nhà cung cấp dịch vụ vận chuyển của mình để các máy chủ trên internet có thể liên lạc với bạn thông qua các đồng nghiệp quá cảnh và bạn cũng sẽ quảng cáo / 24 của mình đến điểm tiên phong để các máy chủ được kết nối với điểm tiên phong có thể tiếp cận bạn trực tiếp mà không cần qua internet (vì đây sẽ được coi là con đường tốt nhất).

Đối với các phiên BGP, thông thường bạn sẽ lọc những gì bạn quảng cáo cho các đồng nghiệp của mình và những gì họ quảng cáo cho bạn (nếu bạn có các đồng nghiệp xuôi dòng) với một danh sách tiền tố chẳng hạn. Nói chung, bạn sẽ không lọc trong nước từ trao đổi tiên phong vì trao đổi sẽ chỉ gửi cho bạn các tuyến đường của những người được kết nối trên sàn giao dịch. Điều này tương tự với các nhà cung cấp dịch vụ vận chuyển của bạn ngoại trừ họ thường sẽ gửi cho bạn bảng định tuyến toàn cầu đầy đủ (tất cả các điểm đến trên internet).

Trong tình huống này, bạn sẽ thêm danh sách tiền tố khớp với ACL theo hướng ra ngoài trên phiên BGP được kết nối với điểm tiên phong để chỉ quảng cáo tiền tố / 24 của bạn, điều này sẽ cho phép các máy chủ trên sàn giao dịch tiên phong chỉ tiếp cận IP của bạn trong / 24 thông qua bộ định tuyến (đó là những gì bạn muốn).

Nếu ai đó quảng cáo một tuyến đường mặc định cho bạn và bạn chấp nhận nó, bạn sẽ không lấy lưu lượng truy cập của họ và gửi nó đến internet. Trong tình huống này, bạn sẽ thấy một tuyến đến internet thông qua họ bởi vì bộ định tuyến của bạn sẽ thấy một tuyến đến 0.0.0.0/0 (internet) thông qua họ vì họ đã quảng cáo nó cho bạn.

Các máy chủ thời gian duy nhất được kết nối với trao đổi tiên phong sẽ thấy internet thông qua bạn là nếu bạn tự quảng cáo một tuyến đường mặc định trên sàn giao dịch. Lần khác bạn có thể được sử dụng như một quá cảnh ASR là nếu bạn có khách hàng là những người ngang hàng với bạn và họ yêu cầu bạn quảng cáo không gian IP của họ tới IXP để họ có thể tiếp cận trao đổi thông qua bạn.