Quaggaルーティングとセキュリティ

11

2つのトランジットネイバーがあり、自分のIPスペースをアナウンスするクアッガルーターがあります。最近、Public Peering Exchange（IXP）に参加したので、他のすべての参加者と一緒に、彼らのローカルネットワーク（/ 24）に参加しています。これまでのところ、すべてが正常に動作します。

セキュリティのために、他の参加者がすべての発信トラフィックを私にルーティングできないのではないでしょうか。たとえば、他の参加者がデフォルトルートをIXP IPにポイントするとどうなりますか。私がその参加者からのすべての発信トラフィックを正しく理解している場合は、私のルーターに送信され、トランジットアップリンクを使用してインターネットにルーティングされます。

なので対策は必要かなと思います。私の考えは：

ファイアウォール（iptables）ルールをセットアップして、自分のIPスペースを宛先とするトラフィックのみが他のIXP参加者から受け入れられるようにします。IXP参加者からの他のトラフィックをドロップします。
どういうわけか、クアッガは各ネイバー（またはピアグループ）ごとに異なるカーネルルーティングテーブルを使用します。IXPネイバーのルーティングテーブルには、自分のIPスペース以外のエントリが含まれていないため、IPトランジットアップリンクを使用したルーティングは行われません。ip rule showquaggaがこれを自動的に行っていないことを示している出力を見ると？

私は正しい軌道に乗っていますか？なぜ2. Quaggaに直接実装されていないのですか？ハードウェアルーター（cisco、juniper、..）はこの問題にどのように対処しますか？

routing bgp

— アレッサンドロ
ソース

何か回答がありましたか？もしそうなら、質問が永遠にポップアップし続けないように答えを受け入れ、答えを探します。または、独自の回答を提供して受け入れることもできます。

— Ron Maupin

9

あなたが正しい、もしあなたが何の対策も取らなければ、これは起こり得ます。それは私が知っているほとんどのIXPの許容される使用ポリシーの違反ですが、それでもあなたはそれが起こらないようにしたいのです。

最初の解決策は良いことであり、問題を解決します。iptablesでセッション状態を追跡しないことを確認してください。これは、おそらくパフォーマンスやルーターを破壊することになります。

同様の方法でアウトバウンドフィルタリングを行うことを検討することもできます。不明なソースから発信されたパケットがネットワークから発信されないようにします。これにより、ネットワーク内のホストが、DDoS攻撃で一般的に使用されるスプーフィングされたIPパケットを送信できなくなります。

2番目のソリューションは実装しません。トランジットとピアリングを処理するルーターが複数ある場合、または多数のピアリングセッションがある場合は、複雑でスケールが適切ではありません（IXPでのいくつかの問題はそれほど珍しいことではありません）。

すべてのハードウェアルータープラットフォームで、この問題は、送信インターフェイスでRPFを構成するか、フィルターを作成することで、構成で解決されることを知っています。

— テウンビンク
ソース

1

LinuxボックスでQuaggaを実行している場合は、カーネルパラメータnet.ipv4.conf.default.rp_filterを1または2に設定してRPFを有効にできます。

詳細については、このページを参照してください：http : //www.slashroot.in/linux-kernel-rpfilter-settings-reverse-path-filtering

— ミンスクソング
ソース

0

私が理解している限り、トランジットプロバイダーへの接続は2つ、ピアリングポイントへの接続は1つです。この状況では、BGPを使用してトランジットプロバイダーおよびIXPルーターとピアリングしていると想定しています。

BGPが機能する方法は、他のユーザーが、アドバタイズする宛先にしか到達できないことです。したがって、たとえば/ 24があり、これをトランジットプロバイダーにアドバタイズして、インターネット上のホストがトランジットピアを介してあなたに到達できるようにし、ピアリングポイントに接続されているホストができるように/ 24をピアリングポイントにアドバタイズします。インターネットを経由せずに直接到達します（これが最適なパスと見なされます）。

BGPセッションの場合、通常は、ピアにアドバタイズするものと、ピアにアドバタイズするもの（ダウンストリームピアがある場合）を、たとえばプレフィックスリストでフィルタリングします。エクスチェンジはエクスチェンジに接続されている人のルートのみを送信するため、通常はピアリングエクスチェンジからのインバウンドをフィルタリングしません。これは、一般に完全なグローバルルーティングテーブル（インターネット上のすべての宛先）を送信することを除いて、交通機関と似ています。

この状況では、ピアリングポイントに接続されたBGPセッションの発信方向のACLに一致するプレフィックスリストを追加して、/ 24プレフィックスのみをアドバタイズし、これにより、ピアリング交換のホストがルーター（必要なもの）。

誰かがデフォルトルートをアドバタイズし、それを受け入れる場合、そのトラフィックを取得してインターネットに送信することはありません。この状況では、ルーターがそれらを介してそれをアドバタイズしたため、ルーターがそれらを介して0.0.0.0/0（インターネット）へのルートを見るので、それらを経由してインターネットへのルートが表示されます。

ピアリング交換に接続されているホストがあなたを経由してインターネットを見ることができるのは、自分がデフォルトのルートを交換にアドバタイズする場合だけです。他の唯一の「トランジットAS」として使用される可能性があるのは、ダウンストリームピアである顧客がいて、彼らがIPスペースをIXPにアドバタイズして、彼らがあなたを通して交換に到達できるようにする場合です。

— フィッツィ
ソース