Quagga मार्ग और सुरक्षा

11

मेरे पास दो ट्रांजिट पड़ोसियों के साथ एक क्वाग राउटर है और अपने खुद के आईपी स्पेस की घोषणा कर रहा हूं। मैं हाल ही में एक सार्वजनिक peering Exchange (IXP) में शामिल हुआ और इसलिए मैं अन्य सभी प्रतिभागियों के साथ मिलकर उनके स्थानीय नेटवर्क (/ 24) का हिस्सा हूं। अभी तक सब कुछ ठीक है।

अब सुरक्षा के लिए मुझे आश्चर्य है कि क्या अन्य प्रतिभागी मेरे माध्यम से अपने सभी आउटगोइंग ट्रैफ़िक को रूट नहीं कर सकते हैं? उदाहरण के लिए यदि कोई अन्य प्रतिभागी मेरे IXP आईपी के लिए डिफ़ॉल्ट मार्ग को इंगित करेगा तो क्या होगा। अगर मैं उस प्रतिभागी से सभी आउटगोइंग ट्रैफ़िक को सही तरीके से समझ पाऊं तो वह मेरे राउटर में जाएगा जो मेरे ट्रांजिट अपलिंक का उपयोग करके इसे इंटरनेट पर ले जाएगा, है ना?

इसलिए मुझे आश्चर्य है कि अगर मुझे इसके खिलाफ कोई उपाय करना है। मेरे विचार हैं:

  1. सेटअप फ़ायरवॉल (iptables) नियम ताकि मेरे अपने IP स्थान के गंतव्य के साथ केवल अन्य IXP प्रतिभागी से ही ट्रैफ़िक स्वीकार किया जाए। IXP प्रतिभागियों से किसी अन्य ट्रैफ़िक को छोड़ें।

  2. किसी तरह quagga प्रत्येक पड़ोसी (या सहकर्मी-समूह) के लिए एक अलग कर्नेल मार्ग तालिका का उपयोग करें। IXP पड़ोसियों के लिए राउटिंग टेबल में मेरे खुद के आईपी स्पेस को छोड़कर कोई भी एंट्री नहीं होगी और इसलिए मेरे आईपी ट्रांजिट अपलिंक का उपयोग करने पर कोई रूटिंग नहीं होगी। ip rule showशो के उत्पादन को देखते हुए क्वाग स्वचालित रूप से ऐसा नहीं कर रहा है?

क्या मैं सही रास्ते पर हूं? क्यूगा में सीधे 2. क्यों लागू नहीं किया गया है? हार्डवेयर समस्या (सिस्को, जुनिपर, ..) इस समस्या से कैसे निपटते हैं?

routing  bgp 
Alessandro
स्रोत
क्या किसी उत्तर ने आपकी मदद की? यदि हां, तो आपको उत्तर स्वीकार करना चाहिए ताकि प्रश्न हमेशा के लिए पॉपिंग न हो जाए, उत्तर की तलाश में है। वैकल्पिक रूप से, आप अपना स्वयं का उत्तर प्रदान कर सकते हैं और स्वीकार कर सकते हैं।
रॉन Maupin

जवाबों:

9

आप सही हैं, यदि आप ऐसा कोई उपाय नहीं करते हैं तो ऐसा हो सकता है। यह IXP के अधिकांश स्वीकार्य नीति नीति का उल्लंघन है जो मुझे पता है, लेकिन फिर भी आप इसे होने से रोकना चाहते हैं।

आपका पहला समाधान एक अच्छी बात है और आपकी समस्या का समाधान करेगा। बस सुनिश्चित करें कि आप iptables में सत्र स्थिति का ट्रैक नहीं रखते हैं, जो संभवतः प्रदर्शन या आपके राउटर को भी मार देगा।

आप आउटबाउंड फ़िल्टरिंग को एक समान तरीके से करने पर विचार कर सकते हैं: पैकेट को अपने नेटवर्क को अज्ञात स्रोतों से उत्पन्न होने की अनुमति न दें। यह आपके नेटवर्क में मेज़बान को खराब आईपी पैकेट भेजने से रोकेगा, जो आमतौर पर DDoS हमलों में उपयोग किए जाते हैं।

मैं दूसरा समाधान लागू नहीं करूंगा। यदि आप कई राउटरों को अपने पारगमन और सहूलियत से संभाल रहे हैं या यदि आपके पास बड़ी संख्या में peering सेशन हैं (IXP पर एक hunderds का एक जोड़ा यह असामान्य नहीं है) तो यह जटिल है और अच्छी तरह से स्केल नहीं करता है।

सभी हार्डवेयर राउटर प्लेटफार्मों पर मुझे पता है कि इस समस्या को आउटबाउंड इंटरफ़ेस और / या फ़िल्टर लिखकर RPF को कॉन्फ़िगर करके कॉन्फ़िगरेशन में हल किया गया है।

तून विंक
स्रोत
1

यदि आप एक लिनक्स बॉक्स पर Quagga चला रहे हैं, तो आप कर्नेल पैरामीटर net.ipv4.conf.default.rp_filterको 1 या 2 पर सेट करके RPF को सक्षम कर सकते हैं ।

अधिक जानकारी के लिए कृपया इस पृष्ठ को देखें: http://www.slashroot.in/linux-kernel-rpfilter-settings-reverse-path-filtering

मिनसुक गीत
स्रोत
0

जहां तक ​​मैं समझता हूं कि आपके पास पारगमन प्रदाताओं के लिए 2 कनेक्शन हैं और एक कनेक्शन बिंदु पर 1 कनेक्शन है, तो इस स्थिति में मैं मानता हूं कि आप अपने ट्रांजिट प्रदाताओं के साथ और IXP राउटर के साथ बीजीपी का उपयोग कर रहे हैं।

जिस तरह से बीजीपी काम करता है, वह केवल उन गंतव्यों तक पहुंच सकता है जो आप उन्हें विज्ञापन देते हैं। इसलिए उदाहरण के लिए आपके पास एक / 24 है और आप इसे अपने पारगमन प्रदाताओं को विज्ञापित करेंगे, ताकि इंटरनेट पर होस्ट आपके माध्यम से आप तक पहुंच सकें और साथियों से भी मिलेंगे। इंटरनेट पर जाए बिना सीधे पहुँचना (जैसा कि यह सबसे अच्छा रास्ता होगा)।

बीजीपी सत्रों के लिए आप सामान्य रूप से फ़िल्टर कर रहे होंगे कि आप अपने साथियों के लिए क्या विज्ञापन देते हैं और वे आपके लिए क्या विज्ञापन देते हैं (यदि आपके पास नीचे की ओर सहकर्मी हैं) उदाहरण के लिए उपसर्ग सूची के साथ। आम तौर पर आप peering विनिमय से इनबाउंड फ़िल्टर नहीं कर पाएंगे क्योंकि एक्सचेंज केवल आपको एक्सचेंज पर जुड़े लोगों के मार्ग भेजेगा। यह आपके पारगमन प्रदाताओं के समान है, सिवाय इसके कि वे आम तौर पर आपको पूरी वैश्विक रूटिंग टेबल (इंटरनेट पर सभी गंतव्य) भेज देंगे।

इस स्थिति में आप बीजीपी सत्र से बाहर के दिशा में एक एसीएल से मेल खाते हुए एक उपसर्ग सूची जोड़ेंगे जो केवल अपने / 24 उपसर्ग को विज्ञापित करने के लिए पेअरिंग बिंदु से जुड़ा होगा यह मेजबानों को केवल आपके आईपी में आपके / 24 तक पहुंचने की अनुमति देगा। राउटर (जो आप चाहते हैं)।

यदि कोई आपके लिए डिफ़ॉल्ट मार्ग का विज्ञापन करता है और आप इसे स्वीकार करते हैं, तो आप उनका ट्रैफ़िक नहीं लेंगे और उसे इंटरनेट पर भेजेंगे। इस स्थिति में आप उनके माध्यम से इंटरनेट के लिए एक मार्ग देखेंगे क्योंकि आपके राउटर को उनके माध्यम से 0.0.0.0/0 (इंटरनेट) का मार्ग दिखाई देगा क्योंकि उन्होंने इसे आपके लिए विज्ञापित किया था।

केवल एक बार peering Exchange से जुड़े होस्ट आपके माध्यम से इंटरनेट को देखेंगे यदि आप स्वयं एक्सचेंज में डिफ़ॉल्ट मार्ग का विज्ञापन करते हैं। केवल दूसरी बार जब आपको "ट्रांज़िट एएस" के रूप में उपयोग किया जा सकता है, यदि आपके पास ऐसे ग्राहक हैं जो आपके साथ डाउनस्ट्रीम पीयर हैं और वे पूछते हैं कि आप उनके आईपी स्पेस को IXP में विज्ञापित करते हैं ताकि वे आपके माध्यम से एक्सचेंज तक पहुंच सकें।

Fitzi
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.