скрытая мощь

АЛЕКСЕЙ ЛУКАЦКИЙ

Спецвыпуск: Хакер, номер #068, стр. 068-062-4

6 Настроить политики пороговых значений (защита от протокольного флудинга).

Для реализации первой задачи необходимо использовать 2 команды: задающую имя класса трафика (class-map) и описывающую критерии для данного трафика (match). Параметр match-any говорит о том, что хотя бы один критерий классификации должен встретиться в трафике (использование параметра match-all требует обнаружения всех критериев):

Router(config)# class-map match-any control-plane-class

Router(config-cmap)# match access-group name cpp-icmp-acl

Для определения политики необходимо выполнить 3 команды: задающую имя политики (policy-map), класс (class) и определяющую политику (police):

Router(config)# policy-map control-plane-policy

Router(config-pmap)# class control-place-class

Router(config-pmap-c)# police rate 50000 pps conform-action transmit exceed-action drop

Применение политики осуществляется в 2 задачи – связывание политики с субинтерфейсом (control-plane) и указание имени используемой политики:

Router(config)# control-plane host

Router(config-cp)# service-policy input control-plane-policy

Для оставшихся 2-х опциональных задач необходимо использование команды class-map type, схожей по синтаксису с командами, описанными выше. Фильтрация портов и пороговых значений описывается следующим образом:

Router(config)# class-map type port-filter match-all pf-class

Router(config-cmap)# match closed-ports

Router(config-cmap)# exit

Router(config)# policy-map type port-filter cppr-pf-policy

Router(config-pmap)# class pf-class

Router(config-pmap-c)# drop

Router(config-pmap-c)# end

Router(config)# control-plane host

Router(config)# service-policy input cppr-pf-policy

Router(config)# class-map type queue-threshold qt-snmp-class

Router(config-cmap)# match protocol snmp

Router(config-cmap)# class-map type queue-threshold qt-telnet-class

Router(config-cmap)# match protocol telnet

Router(config-cmap)# class-map type queue-threshold qt-other-class

Router(config-cmap)# match host-protocols

Router(config-cmap)# exit

Router(config)# policy-map type queue-threshold qt-policy

Router(config-pmap)# class qt-snmp-class

Router(config-pmap-c)# queue-limit 50

Router(config-pmap-c)# class qt-telnet-class

Router(config-pmap-c)# queue-limit 50

Router(config-pmap-c)# class qt-other-class

Router(config-pmap-c)# queue-limit 150

Router(config-pmap-c)# end

Проверить настройки подсистемы регистрации можно путем использования команды show policy map control-plane.

[защита уровня управления.]

Механизм Control Plane Policing (CoPP) позволяет защитить маршрутизатор от обработки вредоносного трафика и не дать ему попасть в защищаемую сеть. Однако все равно остается проблема защиты самого устройства от несанкционированного доступа. Эту задачу решает механизм Management Plane Policing (MPP), который позволяет описать один или несколько интерфейсов маршрутизатора как управляющие, что, в свою очередь, блокирует любые попытки управления с «неуправляющих» интерфейсов. Иными словами, ты ограничиваешь доступ по протоколам FTP, HTTP, HTTPS, SSH, Telnet, SNMP и TFTP. Это, конечно, можно было бы реализовать и с помощью списков контроля доступа (ACL), но в этом случае снижается производительность и масштабируемость маршрутизатора, вынужденного тратить ресурсы на обработку ACL. Настройка данного механизма осуществляется достаточно просто: