Routing dan keamanan quagga

Saya memiliki router quagga dengan dua tetangga transit dan mengumumkan ruang IP saya sendiri. Saya baru-baru ini bergabung dengan pertukaran peering publik (IXP) dan jadi saya bagian dari jaringan lokal mereka (/ 24), bersama dengan semua peserta lainnya. Sejauh ini semuanya bekerja dengan baik.

Sekarang untuk keamanan saya bertanya-tanya apakah peserta lain tidak bisa begitu saja mengarahkan semua lalu lintas keluar mereka melalui saya? Misalnya apa yang terjadi jika peserta lain akan mengarahkan rute default ke ip IXP saya. Jika saya mengerti benar semua lalu lintas keluar dari peserta itu maka akan pergi ke router saya yang akan merutekannya ke internet menggunakan uplink transit saya, kan?

Jadi saya bertanya-tanya apakah saya harus mengambil tindakan melawannya. Ide saya adalah:

1. Atur firewall (iptables) sehingga hanya traffic dengan tujuan ruang IP saya sendiri yang diterima dari peserta IXP lainnya. Jatuhkan lalu lintas lain dari peserta IXP.

2. Entah bagaimana, buat quagga menggunakan tabel routing kernel yang berbeda untuk setiap tetangga (atau peer-group). Tabel perutean untuk tetangga IXP tidak akan berisi entri apa pun kecuali ruang IP saya sendiri dan karenanya tidak ada perutean menggunakan uplinks transit ip saya yang akan terjadi. Melihat output ip rule showshow quagga tidak melakukan ini secara otomatis?

Apakah saya di jalur yang benar? Mengapa 2. tidak diterapkan di Quagga secara langsung? Bagaimana router perangkat keras (cisco, juniper, ..) menangani masalah ini?

Anda benar, jika Anda tidak mengambil tindakan apa pun ini bisa terjadi. Ini merupakan pelanggaran terhadap kebijakan penggunaan yang dapat diterima dari sebagian besar IXP, saya tahu, tetapi Anda tetap ingin mencegahnya terjadi.

Solusi pertama Anda adalah hal yang baik untuk dilakukan dan akan menyelesaikan masalah Anda. Pastikan Anda tidak melacak status sesi di iptables, yang mungkin akan mematikan kinerja atau bahkan router Anda.

Anda dapat mempertimbangkan untuk melakukan pemfilteran keluar juga dengan cara yang sama: jangan izinkan paket meninggalkan jaringan Anda yang berasal dari sumber yang tidak dikenal. Ini akan mencegah host yang mencegah jaringan mengirimkan paket IP palsu, yang biasa digunakan dalam serangan DDoS.

Saya tidak akan mengimplementasikan solusi kedua. Ini rumit dan tidak memiliki skala yang baik jika Anda memiliki beberapa router yang menangani transit dan peering Anda atau jika Anda memiliki banyak sesi peering (beberapa gundukan pada IXP bukanlah hal yang biasa).

Pada semua platform perangkat keras router saya tahu masalah ini diselesaikan dalam konfigurasi dengan mengkonfigurasi RPF pada antarmuka keluar dan / atau dengan menulis filter.

Jika Anda menjalankan Quagga pada kotak Linux, Anda dapat mengaktifkan RPF dengan mengatur parameter kernel net.ipv4.conf.default.rp_filterke 1 atau 2.

Silakan lihat halaman ini untuk lebih jelasnya: http://www.slashroot.in/linux-kernel-rpfilter-settings-reverse-path-filtering

Sejauh yang saya mengerti Anda memiliki 2 koneksi ke penyedia transit dan 1 koneksi ke titik peering, dalam situasi ini saya berasumsi bahwa Anda menggunakan BGP untuk mengintip dengan penyedia transit Anda dan dengan router IXP.

Cara BGP bekerja adalah orang lain hanya dapat mencapai tujuan yang Anda iklankan kepadanya. Jadi misalnya Anda memiliki / 24 dan Anda akan mengiklankan ini ke penyedia transit Anda sehingga host di internet dapat menghubungi Anda melalui rekan-rekan transit Anda dan Anda juga akan mengiklankan / 24 Anda ke titik peering sehingga host yang terhubung ke titik peering dapat menghubungi Anda langsung tanpa melalui internet (karena ini akan dilihat sebagai jalur terbaik).

Untuk sesi BGP Anda biasanya akan memfilter apa yang Anda iklankan ke rekan-rekan Anda dan apa yang mereka beriklan kepada Anda (jika Anda memiliki rekan hilir) dengan daftar awalan misalnya. Umumnya Anda tidak akan menyaring masuk dari pertukaran mengintip karena pertukaran hanya akan mengirimi Anda rute orang yang terhubung di bursa. Ini mirip dengan penyedia transit Anda kecuali mereka umumnya akan mengirimi Anda tabel perutean global lengkap (semua tujuan di internet).

Dalam situasi ini Anda akan menambahkan daftar awalan yang cocok dengan ACL pada arah keluar pada sesi BGP yang terhubung ke titik peering untuk hanya mengiklankan awalan / 24 Anda, ini akan memungkinkan host di bursa mengintip untuk hanya mencapai IP di / 24 Anda melalui Anda router (yang Anda inginkan).

Jika seseorang mengiklankan rute default kepada Anda dan Anda menerimanya, Anda tidak akan mengambil lalu lintas mereka dan mengirimkannya ke internet. Dalam situasi ini Anda akan melihat rute ke internet melalui mereka karena router Anda akan melihat rute ke 0.0.0.0/0 (internet) melalui mereka karena mereka mengiklankannya kepada Anda.

Satu-satunya penghuni waktu yang terhubung dengan pertukaran peering akan melihat internet melalui Anda adalah jika Anda mengiklankan rute default ke pertukaran sendiri. Satu-satunya waktu Anda dapat digunakan sebagai "transit AS" adalah jika Anda memiliki pelanggan yang hilir dengan Anda dan mereka meminta Anda untuk mengiklankan ruang IP mereka ke IXP sehingga mereka dapat mencapai pertukaran melalui Anda.