配置路由器控制層面安全策略

控制層面的作用

既然在網(wǎng)絡(luò)設(shè)備中運(yùn)行各種網(wǎng)絡(luò)協(xié)議，就必然需要為其設(shè)置各種參數(shù)，這其實(shí)都是由管理層面控制的。控制層面通過(guò)這些參數(shù)來(lái)執(zhí)行一些命令，來(lái)控制網(wǎng)絡(luò)中的結(jié)構(gòu)信息。數(shù)據(jù)層面將相應(yīng)的用戶數(shù)據(jù)從對(duì)應(yīng)的接口使用合適的方式轉(zhuǎn)發(fā)出去。

綜上所述，對(duì)于路由器來(lái)說(shuō)，控制層面運(yùn)行路由或組播進(jìn)程，并為數(shù)據(jù)層面構(gòu)建了路由或轉(zhuǎn)發(fā)表，控制層面是基于進(jìn)程級(jí)別運(yùn)行的，在一些慢速的路徑上需要共享CPU資源，即在控制層面運(yùn)行一些協(xié)議時(shí)，需要占用一定的CPU資源。默認(rèn)情況下，控制層面會(huì)共享主CPU隊(duì)列。對(duì)于路由器中的CPU來(lái)說(shuō)，管理進(jìn)程、路由進(jìn)程、慢速數(shù)據(jù)路徑等都會(huì)消耗資源。

管理進(jìn)程會(huì)通過(guò)Telnet、SSH等方式來(lái)對(duì)路由器進(jìn)行各種管理操作。路由進(jìn)程屬于控制層面，因?yàn)樯婕奥酚捎?jì)算操作，也會(huì)占用一定CPU資源。也就是說(shuō)，控制層面需要和管理進(jìn)程和慢速數(shù)據(jù)路徑共享CPU資源。

控制層面面臨的威脅

在控制層面是存在一些安全威脅的，包括慢速路徑的DoS攻擊和路由協(xié)議欺騙等。前者主要是通過(guò)發(fā)送大量的垃圾數(shù)據(jù)來(lái)加劇路由器CPU的資源消耗。對(duì)于一些思科路由器來(lái)說(shuō)，存在CEF快速轉(zhuǎn)發(fā)機(jī)制，可以將數(shù)據(jù)快速轉(zhuǎn)發(fā)出去，而無(wú)需經(jīng)過(guò)CPU處理。但是對(duì)于不支持CEF的路由器來(lái)說(shuō)，所有的數(shù)據(jù)必須經(jīng)過(guò)CPU處理，攻擊者可以發(fā)送大量的垃圾數(shù)據(jù)包，來(lái)極大的消耗CPU的占用率以實(shí)現(xiàn)攻擊的目的。

對(duì)于這種攻擊手段，可以使用多種方法進(jìn)行防御。例如使用ACL控制列表，在對(duì)應(yīng)的接口上攔截所有的攻擊數(shù)據(jù)包。也可以通過(guò)COPP（Control Plane Policing）和 CPPR（Control Plane Protrction）技術(shù)，來(lái)保護(hù)路由器避免此類攻擊。

對(duì)于后者來(lái)說(shuō)，是很常見(jiàn)的攻擊手法。例如兩臺(tái)路由器彼此可以正常的交換路由信息。但是對(duì)于以太網(wǎng)來(lái)說(shuō)，是多路訪問(wèn)的環(huán)境，允許接入其他的網(wǎng)絡(luò)設(shè)備。這樣攻擊者可以將自己的路由器連接進(jìn)來(lái)，并將自己偽裝成合法地址，向目標(biāo)路由器發(fā)送虛假的路由更新消息，以非法獲取傳輸?shù)臄?shù)據(jù)。

對(duì)于此類攻擊，有多種方法加以應(yīng)對(duì)。例如路由器本身具有安全認(rèn)證和過(guò)濾功能，就可以有效解決問(wèn)題，當(dāng)然使用數(shù)據(jù)層面的ACL控制列表以及COPP和CPPR等技術(shù)，也可以對(duì)其進(jìn)行防御。因?yàn)樵诼酚善魃蠒?huì)面對(duì)各種安全威脅，所以在配置路由協(xié)議時(shí)，最好進(jìn)行合理的規(guī)劃。例如在進(jìn)行路由協(xié)議的拓?fù)湟?guī)劃和配置時(shí)，要能識(shí)別一些合法的對(duì)等體，即不同的設(shè)備之間通過(guò)安全認(rèn)證的方式來(lái)建立鄰居關(guān)系等。對(duì)網(wǎng)絡(luò)協(xié)議所需的資源進(jìn)行評(píng)估，并通過(guò)各種方法取消對(duì)于不需要的資源。

在設(shè)計(jì)網(wǎng)絡(luò)拓?fù)鋾r(shí)，要保留合法的路由信息，對(duì)于不合法的路由信息，可以通過(guò)路由過(guò)濾等手段將其清除。對(duì)于不信任的對(duì)等體和網(wǎng)絡(luò)邊緣，要考慮部署相應(yīng)的對(duì)策。在部署一個(gè)網(wǎng)絡(luò)時(shí)，建議至少實(shí)施一個(gè)層次的控制層面的安全保護(hù)。即在數(shù)據(jù)傳遞的過(guò)程中，數(shù)據(jù)每經(jīng)過(guò)一個(gè)設(shè)備，都會(huì)進(jìn)行封裝或解封裝操作。在進(jìn)行封裝時(shí)（如傳輸層封裝、網(wǎng)絡(luò)層封裝等），要考慮在每一層上為其添加安全保護(hù)。例如，在網(wǎng)絡(luò)層配置控制層面的保護(hù)等。如果條件許可，推薦進(jìn)行冗余層次的保護(hù)，這樣可以實(shí)現(xiàn)深度防御。路由協(xié)議是一個(gè)可傳遞的受信任的分布式系統(tǒng)，應(yīng)在所有的設(shè)備上都提供相同層面的保護(hù)。

在路由器中部署COPP控制策略

使用基于架構(gòu)的ACL控制列表的方法可以對(duì)控制層面進(jìn)行保護(hù)，不過(guò)這是比較“古老”的方法。一般來(lái)說(shuō)，都是思科的ISO環(huán)境下去部署控制層面下的安全策略（即 COPP）。根據(jù)以上分析可以知道，控制層面主要負(fù)責(zé)管理網(wǎng)絡(luò)設(shè)備之間運(yùn)行的路由或交換協(xié)議信息的。針對(duì)這些特定的信息，很有可能會(huì)被一些攻擊者利用，對(duì)網(wǎng)絡(luò)安全造成危害。

例如對(duì)于一臺(tái)路由器的某個(gè)接口下運(yùn)行了OSPF協(xié)議，在其下連接的不是一個(gè)合法的用戶而是一個(gè)攻擊者，攻擊者就可能會(huì)偽裝一些OSPF的信息，并和該路由器交換OSPF信息，這就會(huì)對(duì)該路由器上正常的OSFP數(shù)據(jù)造成擾亂和破壞，進(jìn)而對(duì)該設(shè)備進(jìn)行攻擊，如果不及時(shí)進(jìn)行處置，就對(duì)網(wǎng)絡(luò)安全造成不可忽視的威脅。

利用COPP控制層面監(jiān)管技術(shù)，可以對(duì)進(jìn)行有效防御。COPP可以在網(wǎng)絡(luò)設(shè)備上開啟一個(gè)虛擬的控制層面的接口，當(dāng)有一些流量進(jìn)入該控制接口時(shí)，COPP可以識(shí)別這些流量的類型，對(duì)于非法的流量可以進(jìn)行限制措施，來(lái)保護(hù)控制層面的安全。也就是說(shuō)，在該虛擬接口上，COPP可以通過(guò)過(guò)濾和限速等手段，將不正常的流量直接過(guò)濾，或?qū)ζ溥M(jìn)行限速。COPP提供基本的資源保護(hù)功能，可以允許或拒絕關(guān)于控制層面的訪問(wèn)，這明顯優(yōu)于控制列表功能，因?yàn)锳CL只能對(duì)數(shù)據(jù)包執(zhí)行最基本的通過(guò)或丟棄的簡(jiǎn)單處理。

COPP可以針對(duì)控制層面的流量進(jìn)行限制處理，其比本地接口或基于構(gòu)建的控制列表更易于管理，COPP需要在一個(gè)虛擬的控制層面接口配置服務(wù)策略，COPP的配置并不復(fù)雜，首先需要?jiǎng)?chuàng)建Traffic Classes對(duì)流量進(jìn)行分類，來(lái)描述關(guān)于控制層面的有效流量。之后創(chuàng)建一個(gè)流量策略，對(duì)控制層面流量進(jìn)行允許、拒絕或限速處理，最后將該策略應(yīng)用到對(duì)應(yīng)的虛擬控制層面接口上。

注意，控制層面接口輸入全局接口，分為主接口和子接口。對(duì)于COPP來(lái)說(shuō)一般應(yīng)用到主接口上，因?yàn)镃OPP是基于全局接口運(yùn)作，所以可以按照預(yù)設(shè)的策略，對(duì)整個(gè)路由器上的所有跟控制層面有關(guān)的流量進(jìn)行處理，而CPPR一般應(yīng)用在子接口上。

實(shí)例分析COPP的配置方法

這里使用簡(jiǎn)單的例子來(lái)說(shuō)明如何配置和管理COPP。在網(wǎng)絡(luò)中存在R1和R2兩臺(tái)路由器，在其上分別啟用Loopback0的環(huán)回口，地址分別為172.16.1.10/24和172.16.2.10/24，兩 臺(tái)路由器分別通過(guò)地址為10.1.1.1/24和10.1.1.2/24的fa0/0端口連接到同一臺(tái)交換機(jī)上的兩個(gè)接口上，并將其配置為同一個(gè)VLAN，這樣兩者就可以正常通訊。在該網(wǎng)絡(luò)中部署OSPF協(xié)議，在R1和R2互聯(lián)網(wǎng)段設(shè)置為OSPF區(qū)域0，在R1的環(huán)回口設(shè)置為OSPF區(qū)域1，在R2的環(huán)回口設(shè)置為OSPF區(qū)域2。

在R1的控制臺(tái)上執(zhí)行“route ospf 100”、“routeid 172.16.1.10”、“network 172.16.1.10 0.0.0.0 aera 1”、“network 10.1.1.1 0.0.0.0 0”、“end” 等 命令，在R2的控制臺(tái)上執(zhí)行“route ospf 100”、“routeid 172.16.2.10”、“network 172.16.2.10 0.0.0.0 aera 2”、“network 10.1.1.2 0.0.0.0 area 0”、“end”等命令，完成以上配置操作。為了讓其收斂的更快速，可在R2上執(zhí)行“conf t”、“inter f/0”、“ip ospf priority 0”命令，將該接口的優(yōu)先級(jí)設(shè)置為0，讓其不參與OSPF的DR和BDR的選舉。執(zhí)行“show ip ospf neighbor”命令，顯示其鄰居關(guān)系已經(jīng)建立。執(zhí)行“show ip route ospf”命令，顯示相關(guān)的路由信息。

當(dāng)然，路由器之所以可以學(xué)到OSPF路由，其實(shí)就是路由器的控制層面來(lái)實(shí)現(xiàn)的。準(zhǔn)備好了實(shí)驗(yàn)環(huán)境后，就可以對(duì)COPP進(jìn)行配置了。例如在R2上執(zhí)行“ip accesslist extened copp-ospf”命令，創(chuàng)建名為“copp-ospf”的擴(kuò)展訪問(wèn)控制列表，執(zhí)行“permit ospf 12.1.1.0 0.0.0.255 any”命令，允許指定的地址向任何地方發(fā)送數(shù)據(jù)。執(zhí)行“exit”、“classmap copp-ospf-class”命令，建一個(gè)名為“copp-ospfclass”的 Class-map。執(zhí)行“match access-group name copp-ospf”、“exit” 命 令，使其匹配名為“copp-ospf”的訪問(wèn)列表。執(zhí)行“policymap copp-policy” 命 令，創(chuàng) 建 名 為“copp-policy”的Policy-map。在其配置模式下執(zhí)行“class coppospf-class”命令，調(diào)用上述Class-map。接下來(lái)就可以為其定義各種行為，例如設(shè)置帶寬、丟棄等。執(zhí)行“police rate 100 pps conform-action transmit exceed-action drop”命令，表示當(dāng)數(shù)據(jù)包進(jìn)入該路由器的控制層面時(shí)，當(dāng)速率不超過(guò)每秒100個(gè)時(shí)對(duì)其放行，當(dāng)超過(guò)時(shí)將其丟棄。

執(zhí) 行“exit”、“class class-default”命 令，定義默認(rèn)的Class，其針對(duì)的是除了上述設(shè)置的所有跟控制層面相關(guān)的內(nèi)容。執(zhí)行“police rate 10 pps conform-action transmit exceed-action drop”命令，表示針對(duì)這些內(nèi)容進(jìn)行限速，當(dāng)其速度不超過(guò)10個(gè)每秒時(shí)放行否則丟棄。執(zhí)行exit”，“control-plane”命令，進(jìn)入COPP主接口配置界面。執(zhí)行“service-policy input copp-policy”、“end”命令，針對(duì)進(jìn)入的流量設(shè)置上述策略。之后執(zhí)行“show policy-map control-policy all”命令，可以查看數(shù)據(jù)包匹配信息。執(zhí)行“debug control-plane all” 命令，查看被過(guò)濾掉的數(shù)據(jù)包信息。對(duì)應(yīng)的，執(zhí)行“conf t”，“no class copp-ospfclass”命令，可以取消上述控制策略。當(dāng)然，對(duì)于RIP、EIGRP等其他網(wǎng)絡(luò)協(xié)議，也可以創(chuàng)建同樣的策略，對(duì)控制層面的流量進(jìn)行處理。

使用Telnet命令，可以對(duì)目標(biāo)路由器進(jìn)行管理操作。例如，在R1上開啟一個(gè)VTY控制臺(tái)，為其設(shè)置密碼并允許登錄，就可以執(zhí)行Telnet連接。在有些情況下，可能不希望隨意使用Telnet進(jìn)行連接，這就可以使用控制層面安全策略進(jìn)行管控。這樣，當(dāng)對(duì)R1進(jìn)行Telnet連接時(shí)，將連接的數(shù)據(jù)包丟棄。在進(jìn)行Telnet連接時(shí)，每輸入一個(gè)字符，就會(huì)向R1發(fā)送一個(gè)數(shù)據(jù)包。基于此原理，只要在R1的控制層面進(jìn)行限速處理，就會(huì)讓Telnet連接無(wú)法進(jìn)行。在R1全局配置模式下執(zhí)行“l(fā)ine vty 0 4”、“pas xxx”、“l(fā)ogin”命令，開啟VTY控制臺(tái)，設(shè)置密碼為“xxx”。

執(zhí) 行“ip access-list extended telnet”命令，創(chuàng)建名為“telnet”的擴(kuò)展訪問(wèn)控制列表。執(zhí)行“permit tcp host 10.1.1.1.2 any eq 23”命令，允許從指定的IP訪問(wèn)R1的Telnet端口。 執(zhí) 行“exit”、“classmap telnet-class”命 令，創(chuàng) 建 名 為“telnet-class”的Class-map。 執(zhí) 行“match access-group name telnet”命令，使之匹配名為“telnet”的訪問(wèn)控制列表。 執(zhí) 行“exit”、“policymap telnet-policy”命令，創(chuàng)建名為“telnet-policy”的Policy-map。執(zhí)行“police rate 1 pps conformaction transmit exceedaction drop”命令，對(duì)于速率超過(guò)每秒一個(gè)的數(shù)據(jù)包執(zhí)行丟棄處理。執(zhí)行“exit”、“exit”、“control-plane”、“service-policy input telnet-policy”命令，針對(duì)進(jìn)入的流量設(shè)置預(yù)定的策略。

這樣，當(dāng)試圖使用Telnet訪問(wèn)R1的話，其速度就變得很緩慢，如果將上述命令執(zhí)行“police rate 1 pps conform-action drop”，那么就將徹底禁用Telnet連接。