Instradamento e sicurezza della quagga

Ho un router quagga con due vicini di transito che annunciano il mio spazio IP. Di recente mi sono unito a uno scambio peering pubblico (IXP) e quindi faccio parte della loro rete locale (/ 24), insieme a tutti gli altri partecipanti. Finora tutto funziona bene.

Ora per sicurezza mi chiedo se gli altri partecipanti non possano semplicemente instradare tutto il loro traffico in uscita attraverso di me? Ad esempio, cosa succede se un altro partecipante indica una route predefinita al mio IP IXP. Se avessi compreso correttamente tutto il traffico in uscita da quel partecipante sarebbe andato al mio router che lo avrebbe indirizzato a Internet usando il mio uplink di transito, giusto?

Quindi mi chiedo se devo prendere delle misure contro di esso. Le mie idee sono:

1. Configura le regole del firewall (iptables) in modo tale che solo il traffico con una destinazione del mio spazio IP sia accettato dagli altri partecipanti IXP. Eliminare qualsiasi altro traffico dai partecipanti IXP.

2. In qualche modo, fare in modo che quagga utilizzi una tabella di routing del kernel diversa per ciascun vicino (o gruppo di pari). La tabella di routing per i vicini IXP non conterrebbe alcuna voce tranne il mio spazio IP e quindi non si verificherebbe alcun routing utilizzando i miei uplink di transito ip. Guardando l'output di ip rule showspettacoli quagga non lo fa automaticamente?

Sono sulla buona strada? Perché 2. non è implementato direttamente in Quagga? In che modo i router hardware (Cisco, Juniper, ..) affrontano questo problema?

Hai ragione, se non prendi misure questo potrebbe accadere. È una violazione della politica di utilizzo accettabile della maggior parte dei IXP che conosco, ma vuoi comunque evitare che accada.

La tua prima soluzione è una buona cosa da fare e risolverà il tuo problema. Assicurati solo di non tenere traccia dello stato della sessione in iptables, che probabilmente ucciderà le prestazioni o persino il tuo router.

Potresti considerare di fare anche il filtro in uscita in modo simile: non consentire ai pacchetti di lasciare la tua rete proveniente da fonti sconosciute. Ciò impedirà agli host della rete di inviare pacchetti IP contraffatti, comunemente utilizzati negli attacchi DDoS.

Non implementerei la seconda soluzione. È complicato e non si adatta bene se hai più router che gestiscono i tuoi transiti e peerings o se hai un gran numero di sessioni di peering (un paio di hunderds su un IXP non è così raro).

Su tutte le piattaforme di router hardware, so che questo problema viene risolto nella configurazione configurando RPF sull'interfaccia in uscita e / o scrivendo filtri.

Se stai eseguendo Quagga su un box Linux, puoi abilitare RPF impostando il parametro kernel net.ipv4.conf.default.rp_filtersu 1 o 2.

Si prega di consultare questa pagina per maggiori dettagli: http://www.slashroot.in/linux-kernel-rpfilter-settings-reverse-path-filtering

Per quanto ne so, hai 2 connessioni ai provider di transito e 1 connessione a un punto di peering, in questa situazione presumo che tu stia utilizzando BGP per eseguire il peering con i tuoi provider di transito e con un router IXP.

Il modo in cui BGP funziona è che gli altri possono raggiungere solo le destinazioni pubblicizzate. Ad esempio, hai un / 24 e lo pubblicizzerai ai tuoi fornitori di transito in modo che gli host su Internet possano raggiungerti attraverso i tuoi colleghi di transito e pubblicizzeresti anche il tuo / 24 al punto di peering in modo che gli host collegati al punto di peering possano raggiungerti direttamente senza andare su Internet (poiché questo sarebbe visto come il percorso migliore).

Per le sessioni BGP, normalmente filtreresti ciò che fai pubblicità ai tuoi colleghi e ciò che fanno pubblicità a te (se hai colleghi a valle) con un elenco di prefissi, ad esempio. Generalmente non filtrerai in entrata dallo scambio di peering poiché lo scambio ti invierà solo percorsi di persone connesse allo scambio. Questo è simile ai tuoi fornitori di transito, tranne che in genere ti invieranno la tabella di routing globale completa (tutte le destinazioni su Internet).

In questa situazione è necessario aggiungere un elenco di prefissi che corrisponda a un ACL nella direzione di uscita sulla sessione BGP collegata al punto di peering per pubblicizzare solo il prefisso / 24, ciò consentirà agli host dello scambio di peering di raggiungere solo gli IP nel / 24 tramite il proprio router (che è quello che vuoi).

Se qualcuno ti annuncia un percorso predefinito e lo accetti, non prenderesti il ​​suo traffico e lo invierai a Internet. In questa situazione, vedresti un percorso verso Internet tramite loro perché il tuo router vedrà un percorso verso 0.0.0.0/0 (Internet) attraverso di loro perché te lo hanno pubblicizzato.

L'unica volta in cui gli host collegati allo scambio di peering vedranno Internet tramite te è se pubblicizzi tu stesso un percorso predefinito. L'unica altra volta che potresti essere usato come "AS di transito" è se hai clienti che sono colleghi a valle con te e ti chiedono di pubblicizzare il loro spazio IP su IXP in modo che possano raggiungere lo scambio attraverso di te.