Маршрутизація та безпека Quagga

У мене є маршрутизатор quagga з двома транзитними сусідами і оголошує власний IP-простір. Нещодавно я приєднався до публічної пірингової біржі (IXP), тому я є частиною їх локальної мережі (/ 24) разом з усіма іншими учасниками. Поки все працює добре.

Тепер для безпеки мені цікаво, чи інші учасники не могли просто прокласти весь свій вихідний трафік через мене? Наприклад, що станеться, якщо будь-який інший учасник вказав би маршрут за замовчуванням на мій IXP ip. Якщо я правильно розумію, весь вихідний трафік від цього учасника перейшов би на моєму маршрутизаторі, який би направляв його в Інтернет за допомогою моєї транзитної висхідної лінії зв'язку, правда?

Тож мені цікаво, чи доведеться я вжити будь-яких заходів проти цього. Мої ідеї:

1. Налаштуйте брандмауер (iptables) таким чином, щоб тільки інший трафік із призначенням мого власного IP-простору приймався від іншого учасника IXP. Відкиньте будь-який інший трафік від учасників IXP.

2. Якось змушуйте quagga використовувати іншу таблицю маршрутизації ядра для кожного сусіда (або групи однолітків). Таблиця маршрутизації для сусідів IXP не міститиме жодних записів, крім мого власного ІР-простору, і тому ніякої маршрутизації за допомогою моїх ip-транзитних посилань не відбуватиметься. Дивлячись на вихід ip rule showшоу, quagga це не робить автоматично?

Я на правильному шляху? Чому 2. не реалізовано безпосередньо в Quagga? Як апаратні маршрутизатори (cisco, ялівці, ..) вирішують цю проблему?

Ви маєте рацію, якщо не вживати жодних заходів, це може статися. Це порушення політики прийнятного використання більшості я знаю IXP, але все ж ви хочете не допустити цього.

Ваше перше рішення - це добре зробити і вирішить вашу проблему. Просто переконайтеся, що ви не стежите за станом сеансу в iptables, що, ймовірно, знищить продуктивність або навіть ваш маршрутизатор.

Ви можете розглянути можливість фільтрації вихідних даних аналогічним чином: не дозволяйте пакетам залишати вашу мережу з невідомих джерел. Це дозволить запобігти хостам у вашій мережі надсилати підроблені IP-пакети, які зазвичай використовуються в DDoS-атаках.

Я б не реалізував друге рішення. Це складно і не добре масштабується, якщо у вас є декілька маршрутизаторів, які керують вашими транзитами та переглядами, або якщо у вас є велика кількість сеансів пирінгу (кілька гундер на IXP - це не рідкість).

На всіх платформах апаратних маршрутизаторів я знаю, що ця проблема вирішується в конфігурації шляхом налаштування RPF на вихідному інтерфейсі та / або записом фільтрів.

Якщо ви використовуєте Quagga у вікні Linux, ви можете увімкнути RPF, встановивши параметр ядра net.ipv4.conf.default.rp_filterна 1 або 2.

Перегляньте цю сторінку для отримання більш детальної інформації: http://www.slashroot.in/linux-kernel-rpfilter-settings-reverse-path-filtering

Наскільки я розумію, у вас є 2 з'єднання з транзитними провайдерами і 1 з'єднання до перингової точки, в цій ситуації я припускаю, що ви використовуєте BGP для того, щоб пирінг зі своїми транзитними постачальниками та маршрутизатором IXP.

Те, як працює BGP - це інші, може дістатися лише до тих напрямків, де ви рекламуєте їх. Так, наприклад, у вас є / 24, і ви будете рекламувати це своїм транзитним провайдерам, щоб господарі в Інтернеті могли зв’язатися з вами через транзитних однолітків, і ви також рекламували б / 24 до точки, що підключається, щоб господарі, підключені до точки догляду, могли зв’язатися з вами безпосередньо, не переходячи через Інтернет (оскільки це вважалося б найкращим шляхом).

Для сеансів BGP ви зазвичай фільтруєте те, що рекламуєте своїм одноліткам, і те, що вони рекламують вам (якщо у вас є однорангові програми), наприклад, зі списком префіксів. Як правило, ви не можете фільтрувати вхідні дані з однорангової біржі, оскільки біржа надсилатиме вам лише маршрути людей, підключених до біржі. Це схоже на ваших транзитних постачальників, за винятком того, що вони, як правило, надсилають вам повну глобальну таблицю маршрутизації (усі напрямки в Інтернеті).

У цій ситуації ви додасте список префіксів, що відповідає ACL у вихідному напрямку на сеансі BGP, підключеному до точки догляду, щоб лише рекламувати ваш префікс / 24, це дозволить хостам на тісному обміні досягти лише IP-адрес у вашому / 24 через ваш маршрутизатор (який саме ви хочете).

Якщо хтось рекламує маршрут за замовчуванням для вас, і ви приймаєте його, ви не будете забирати їхній трафік і відправляти його в Інтернет. У цій ситуації ви побачите маршрут до Інтернету через них, оскільки ваш маршрутизатор побачить через них маршрут до 0,0.0.0/0 (Інтернет), оскільки він рекламував вам це.

Єдиний раз, коли хости, підключені до перингової біржі, побачать Інтернет через вас, якщо ви самі рекламуєте маршрут за замовчуванням до біржі. Єдиний інший раз, коли вас можуть використовувати як "транзитний АС", - якщо у вас є клієнти, які є однолітками нижче за течією, і вони просять, щоб ви рекламували їх ІР-простір на IXP, щоб вони могли дістатися обміну через вас.