การกำหนดเส้นทาง Quagga และความปลอดภัย

ฉันมีเราท์เตอร์ quagga กับเพื่อนบ้านสองคนและประกาศพื้นที่ IP ของตัวเอง ฉันเพิ่งเข้าร่วมการแลกเปลี่ยน peering สาธารณะ (IXP) ดังนั้นฉันจึงเป็นส่วนหนึ่งของเครือข่ายท้องถิ่น (/ 24) พร้อมกับผู้เข้าร่วมอื่น ๆ จนถึงทุกอย่างทำงานได้ดี

ตอนนี้เพื่อความปลอดภัยฉันสงสัยว่าผู้เข้าร่วมรายอื่นไม่สามารถกำหนดเส้นทางปริมาณการใช้ข้อมูลขาออกทั้งหมดผ่านฉันได้หรือไม่ ตัวอย่างเช่นจะเกิดอะไรขึ้นหากผู้เข้าร่วมคนอื่นจะชี้เส้นทางเริ่มต้นไปยัง IXP ของฉัน ถ้าฉันเข้าใจการรับส่งข้อมูลทั้งหมดจากผู้เข้าร่วมนั้นอย่างถูกต้องแล้วไปที่เราเตอร์ของฉันซึ่งจะกำหนดเส้นทางไปยังอินเทอร์เน็ตโดยใช้อัปลิงค์การขนส่งของฉันใช่ไหม

ดังนั้นฉันสงสัยว่าฉันจะต้องใช้มาตรการใด ๆ กับมัน ความคิดของฉันคือ:

1. ตั้งค่ากฎไฟร์วอลล์ (iptables) เพื่อให้รับส่งข้อมูลด้วยปลายทางของพื้นที่ IP ของฉันเท่านั้นที่ได้รับการยอมรับจากผู้เข้าร่วม IXP รายอื่น ปล่อยการรับส่งข้อมูลอื่น ๆ จากผู้เข้าร่วม IXP

2. อย่างใดทำให้ quagga ใช้เคอร์เนลตารางเส้นทางที่แตกต่างกันสำหรับแต่ละเพื่อนบ้าน (หรือกลุ่มเพื่อน) ตารางเส้นทางสำหรับเพื่อนบ้าน IXP จะไม่มีรายการใด ๆ ยกเว้นพื้นที่ IP ของฉันและดังนั้นจึงไม่มีการกำหนดเส้นทางโดยใช้การเชื่อมต่อการขนส่ง ip ของฉัน ดูผลลัพธ์ของการip rule showแสดง quagga ไม่ได้ทำสิ่งนี้โดยอัตโนมัติ?

ฉันกำลังติดตามใช่ไหม? ทำไม 2. ไม่ถูกนำไปใช้ใน Quagga โดยตรง? ฮาร์ดแวร์เราเตอร์ (cisco, juniper, .. ) จัดการกับปัญหานี้อย่างไร

คุณพูดถูกถ้าคุณไม่ใช้มาตรการใด ๆ สิ่งนี้อาจเกิดขึ้นได้ เป็นการละเมิดนโยบายการใช้งานที่ยอมรับได้ของ IXP ส่วนใหญ่ที่ฉันรู้ แต่คุณก็ยังต้องการป้องกันไม่ให้เกิดขึ้น

ทางออกแรกของคุณคือสิ่งที่ดีที่ต้องทำและจะแก้ปัญหาของคุณ ตรวจสอบให้แน่ใจว่าคุณไม่ได้ติดตามสถานะเซสชันใน iptables ซึ่งอาจทำให้ประสิทธิภาพการทำงานลดลงหรือแม้แต่เราเตอร์ของคุณ

คุณสามารถพิจารณาทำการกรองขาออกได้ด้วยวิธีเดียวกัน: ไม่อนุญาตให้แพ็คเก็ตปล่อยเครือข่ายของคุณจากแหล่งที่ไม่รู้จัก วิธีนี้จะช่วยป้องกันไม่ให้โฮสต์ในเครือข่ายของคุณส่งแพ็คเก็ต IP ปลอมแปลงซึ่งมักใช้ในการโจมตี DDoS

ฉันจะไม่ใช้โซลูชันที่สอง มันซับซ้อนและปรับขนาดไม่ได้หากคุณมีเราเตอร์หลายตัวที่จัดการ transits และ peerings ของคุณหรือถ้าคุณมีเซสชันการสนทนาจำนวนมาก

ในทุกแพลตฟอร์มเราเตอร์ฮาร์ดแวร์ฉันรู้ว่าปัญหานี้ได้รับการแก้ไขในการกำหนดค่าโดยการกำหนดค่า RPF บนอินเตอร์เฟสขาออกและ / หรือโดยการเขียนตัวกรอง

หากคุณใช้ Quagga บนกล่อง Linux คุณสามารถเปิดใช้งาน RPF โดยการตั้งค่าพารามิเตอร์เคอร์เนลnet.ipv4.conf.default.rp_filterเป็น 1 หรือ 2

โปรดดูหน้านี้สำหรับรายละเอียดเพิ่มเติม: http://www.slashroot.in/linux-kernel-rpfilter-settings-reverse-path-filtering

เท่าที่ฉันเข้าใจคุณมี 2 การเชื่อมต่อไปยังผู้ให้บริการการขนส่งและ 1 การเชื่อมต่อไปยังจุดเชื่อมต่อในสถานการณ์นี้ฉันคิดว่าคุณกำลังใช้ BGP เพื่อดูกับผู้ให้บริการขนส่งและเราเตอร์ IXP

วิธีการทำงานของ BGP คือผู้อื่นสามารถเข้าถึงจุดหมายปลายทางที่คุณโฆษณาเท่านั้น ตัวอย่างเช่นคุณมี / 24 และคุณจะโฆษณาสิ่งนี้กับผู้ให้บริการขนส่งของคุณเพื่อให้โฮสต์บนอินเทอร์เน็ตสามารถติดต่อคุณผ่านเครือข่ายการขนส่งและคุณจะโฆษณา / 24 ของคุณไปยังจุดเชื่อมต่อเพื่อให้โฮสต์ที่เชื่อมต่อกับจุดเชื่อมต่อ ติดต่อคุณโดยตรงโดยไม่ต้องผ่านอินเทอร์เน็ต (เพราะนี่จะเป็นเส้นทางที่ดีที่สุด)

สำหรับเซสชัน BGP โดยปกติแล้วคุณจะกรองสิ่งที่คุณโฆษณากับเพื่อนและสิ่งที่พวกเขาโฆษณาให้คุณ (ถ้าคุณมีเพื่อนดาวน์สตรีม) พร้อมกับรายการคำนำหน้า โดยทั่วไปคุณจะไม่กรองขาเข้าจากการแลกเปลี่ยนแบบเพียร์ริ่งเนื่องจากการแลกเปลี่ยนจะส่งเส้นทางของผู้คนที่เชื่อมต่อกับการแลกเปลี่ยนเท่านั้น สิ่งนี้คล้ายกับผู้ให้บริการขนส่งของคุณยกเว้นโดยทั่วไปพวกเขาจะส่งตารางเส้นทางทั่วโลกแบบเต็ม (เส้นทางทั้งหมดบนอินเทอร์เน็ต) ให้คุณ

ในสถานการณ์นี้คุณจะเพิ่มรายการคำนำหน้าตรงกับ ACL ในทิศทางขาออกในเซสชัน BGP ที่เชื่อมต่อกับจุดเชื่อมต่อเพื่อโฆษณาเฉพาะคำนำหน้า / 24 ของคุณซึ่งจะช่วยให้โฮสต์ในการแลกเปลี่ยน peering เข้าถึงเฉพาะ IP ใน / 24 ของคุณ เราเตอร์ (ซึ่งเป็นสิ่งที่คุณต้องการ)

หากมีคนโฆษณาเส้นทางเริ่มต้นให้กับคุณและคุณยอมรับคุณจะไม่รับการจราจรของพวกเขาและส่งไปยังอินเทอร์เน็ต ในสถานการณ์เช่นนี้คุณจะเห็นเส้นทางไปยังอินเทอร์เน็ตผ่านพวกเขาเพราะเราเตอร์ของคุณจะเห็นเส้นทางไปยัง 0.0.0.0/0 (อินเทอร์เน็ต) ผ่านพวกเขาเพราะพวกเขาโฆษณาให้คุณ

โฮสต์เพียงครั้งเดียวที่เชื่อมต่อกับการแลกเปลี่ยนแบบเพียร์ริ่งจะเห็นอินเทอร์เน็ตผ่านคุณคือถ้าคุณโฆษณาเส้นทางเริ่มต้นเพื่อการแลกเปลี่ยนด้วยตัวคุณเอง เวลาอื่นที่คุณอาจใช้เป็น "แผนการขนส่ง" คือถ้าคุณมีลูกค้าที่เป็นเพื่อนร่วมทางกับคุณและพวกเขาขอให้คุณโฆษณาพื้นที่ IP ของพวกเขาไปยัง IXP เพื่อให้พวกเขาสามารถเข้าถึงการแลกเปลี่ยนผ่านคุณได้