Quagga yönlendirme ve güvenlik

İki geçiş komşusu olan ve kendi IP alanımı açıklayan bir quagga yönlendiricim var. Kısa süre önce bir halka açık eş alışverişine (IXP) katıldım ve bu nedenle diğer tüm katılımcılarla birlikte yerel ağının (/ 24) bir parçasıyım. Şimdiye kadar her şey iyi çalışıyor.

Şimdi güvenlik için diğer katılımcıların tüm giden trafiğini bana yönlendirip yönlendiremediklerini merak ediyorum. Örneğin, başka bir katılımcı IXP ip adresime varsayılan bir rota işaret ederse ne olur? Eğer o katılımcıdan gelen tüm giden trafiği doğru bir şekilde anlarsam, yönlendiricime gider ve bu da toplu taşıma bağlantımı kullanarak internete yönlendirir, değil mi?

Bu yüzden ona karşı herhangi bir önlem almam gerekip gerekmediğini merak ediyorum. Fikirlerim:

1. Güvenlik duvarını (iptables) kurar, yalnızca kendi IP alanımın hedefi olan trafiğin diğer IXP katılımcılarından kabul edilmesini sağlar. IXP katılımcılarından gelen diğer trafiği bırakın.

2. Bir şekilde quagga'nın her komşu (veya eş grubu) için farklı bir çekirdek yönlendirme tablosu kullanmasını sağlayın. IXP komşularının yönlendirme tablosu, kendi IP alanım dışında herhangi bir girdi içermez ve bu nedenle ip geçiş bağlantılarını kullanarak yönlendirme gerçekleşmez. ip rule showŞovların çıktısına bakmak quagga bunu otomatik olarak yapmıyor mu?

Ben doğru yolda mıyım? Neden 2. doğrudan Quagga'da uygulanmıyor? Donanım yönlendiricileri (cisco, ardıç, ..) bu sorunla nasıl başa çıkıyor?

Haklısın, eğer herhangi bir önlem almazsan bu olabilir. Bu, bildiğim çoğu IXP'nin kabul edilebilir kullanım politikasının ihlalidir, ancak yine de bunun olmasını önlemek istiyorsunuz.

İlk çözümünüz yapılacak iyi bir şeydir ve sorununuzu çözecektir. Sadece performansı ve hatta yönlendiricinizi öldürecek iptables oturum durumunu takip etmediğinizden emin olun.

Giden filtrelemeyi de benzer şekilde yapmayı düşünebilirsiniz: paketlerin ağınızı bilinmeyen kaynaklardan kaynaklanmasına izin vermeyin. Bu, ağınızdaki ana bilgisayarların DDoS saldırılarında yaygın olarak kullanılan sahte IP paketleri göndermesini önleyecektir.

İkinci çözümü uygulamam. Karmaşıktır ve geçişlerinizi ve eşlemelerinizi işleyen birden fazla yönlendiriciniz varsa veya çok sayıda eşleme oturumunuz varsa (IXP'deki birkaç hunderds bu nadir değildir) iyi değildir.

Tüm donanım yönlendirici platformlarında, bu sorunun, giden arabirimde RPF yapılandırılarak ve / veya filtreler yazarak yapılandırmada çözüldüğünü biliyorum.

Quagga'yı bir Linux kutusunda çalıştırıyorsanız, çekirdek parametresini net.ipv4.conf.default.rp_filter1 veya 2 olarak ayarlayarak RPF'yi etkinleştirebilirsiniz .

Daha fazla ayrıntı için lütfen bu sayfaya bakın: http://www.slashroot.in/linux-kernel-rpfilter-settings-reverse-path-filtering

Anladığım kadarıyla, transit sağlayıcılara 2 ve bir eşleme noktasına 1 bağlantınız var, bu durumda transit sağlayıcılarınızla ve bir IXP yönlendiricisiyle eşleşmek için BGP kullandığınızı varsayıyorum.

BGP'nin çalışma şekli diğerlerinin yalnızca reklamını yaptığınız yerlere ulaşabilmesidir. Örneğin, bir / 24'ünüz var ve bunu transit sağlayıcılarınıza bildireceksiniz, böylece internetteki ana bilgisayarlar size transit eşleri aracılığıyla ulaşabilir ve ayrıca / 24'ünüzü eşleme noktasına bildirirsiniz, böylece eşleme noktasına bağlı ana bilgisayarlar (bu en iyi yol olarak görüleceği gibi) internet üzerinden gitmeden doğrudan size ulaşmak.

BGP oturumları için normalde akranlarınıza reklam verdiklerinizi ve size reklam verdiklerinizi (alt akranlarınız varsa) örneğin bir önek listesiyle filtrelersiniz. Genellikle değişim sadece borsaya bağlı kişilerin yollarını göndereceğinden, emsal değişim borusundan gelen filtreyi filtrelemezsiniz. Bu, genellikle size genel global yönlendirme tablosunu (İnternet'teki tüm hedefler) göndermeleri dışında transit sağlayıcılarınıza benzer.

Bu durumda, yalnızca / 24 önekinizin reklamını yapmak için eşleme noktasına bağlı BGP oturumunda giden yönde bir ACL ile eşleşen bir önek listesi eklersiniz; bu, eşleme değişimindeki ana bilgisayarların, yönlendirici (istediğiniz şey).

Birisi size varsayılan bir rota tanıtırsa ve kabul ederseniz, trafiğini alıp İnternet'e göndermeyeceksiniz. Bu durumda, yönlendiriciniz onlar üzerinden reklam verdikleri için 0.0.0.0/0 (internet) üzerinden bir yol görecekleri için İnternet üzerinden bir yol görürsünüz.

Eş değişimine bağlı olan ev sahiplerinin internet üzerinden sadece sizin göreceğiniz tek şey, değişim için varsayılan bir yolun reklamını yapmanızdır. Bir "transit AS" olarak kullanılabileceğiniz diğer tek zaman, sizinle alt akış arkadaşları olan müşterileriniz varsa ve IP alanlarını IXP'ye tanıtmanızı istiyorlar, böylece sizden borsaya ulaşabilirler.