Quagga 라우팅 및 보안

두 개의 대중 교통 이웃이 있고 자체 IP 공간을 알리는 쿼가 라우터가 있습니다. 최근에 공개 피어링 교환 (IXP)에 가입 했으므로 다른 모든 참가자와 함께 로컬 네트워크 (/ 24)에 속해 있습니다. 지금까지 모든 것이 잘 작동합니다.

이제 보안을 위해 다른 참가자가 나가는 트래픽을 모두 나를 통해 라우팅 할 수 없는지 궁금합니다. 예를 들어 다른 참가자가 기본 경로를 내 IXP IP로 지정하면 어떻게됩니까? 해당 참가자의 모든 나가는 트래픽을 올바르게 이해하면 대중 교통 업 링크를 사용하여 인터넷으로 라우팅하는 라우터로 이동합니다.

따라서 이에 대해 조치를 취해야하는지 궁금합니다. 내 아이디어는 다음과 같습니다

1. 내 IP 공간의 대상이있는 트래픽 만 다른 IXP 참가자가 수락하도록 방화벽 (iptables) 규칙을 설정하십시오. IXP 참가자의 다른 트래픽을 삭제하십시오.

2. 어떻게 든 quagga가 각 이웃 (또는 피어 그룹)마다 다른 커널 라우팅 테이블을 사용하게합니다. IXP 이웃에 대한 라우팅 테이블은 내 자신의 IP 공간을 제외하고 어떤 항목도 포함하지 않으므로 IP 전송 업 링크를 사용하는 라우팅이 발생하지 않습니다. ip rule showshow quagga 의 출력을 보면이 작업이 자동으로 수행되지 않습니까?

내가 올바른 길을 가고 있습니까? 왜 Quagga에서 2. 직접 구현되지 않습니까? 하드웨어 라우터 (cisco, juniper, ..)는이 문제를 어떻게 처리합니까?

당신이 옳습니다. 만약 당신이 어떤 조치를 취하지 않으면 이런 일이 일어날 수 있습니다. 내가 아는 대부분의 IXP의 허용되는 사용 정책을 위반하지만 여전히 발생하지 않도록하고 싶습니다.

첫 번째 해결책은 좋은 일이며 문제를 해결할 것입니다. iptables에서 세션 상태를 추적하지 않아야 성능이 저하되거나 라우터가 손상 될 수 있습니다.

비슷한 방식으로 아웃 바운드 필터링을 고려할 수도 있습니다. 패킷이 네트워크를 알 수없는 소스에서 벗어나지 않도록하십시오. 이렇게하면 네트워크의 호스트가 DDoS 공격에 일반적으로 사용되는 스푸핑 된 IP 패킷을 보내지 못하게됩니다.

두 번째 솔루션을 구현하지 않을 것입니다. 대중 교통 및 피어링을 처리하는 라우터가 여러 대이거나 피어링 세션이 많은 경우 (IXP의 몇 가지 방해가 흔하지는 않습니다) 복잡하고 확장 성이 떨어집니다.

모든 하드웨어 라우터 플랫폼에서이 문제는 아웃 바운드 인터페이스에서 RPF를 구성하거나 필터를 작성하여 구성에서 해결된다는 것을 알고 있습니다.

Linux 박스에서 Quagga를 실행하는 경우 커널 매개 변수 net.ipv4.conf.default.rp_filter를 1 또는 2 로 설정하여 RPF를 활성화 할 수 있습니다 .

자세한 내용은이 페이지를 참조하십시오 : http://www.slashroot.in/linux-kernel-rpfilter-settings-reverse-path-filtering

내가 아는 한, 당신은 대중 교통 제공자에 대한 2 개의 연결과 피어링 포인트에 대한 1 개의 연결을 가지고 있습니다.이 상황에서는 BGP를 사용하여 대중 교통 제공자와 IXP 라우터와 피어링한다고 가정합니다.

BGP의 작동 방식은 다른 사람들이 자신이 광고하는 대상에만 도달 할 수 있다는 것입니다. 예를 들어, 당신은 / 24를 가지고 있으며이를 당신의 대중 교통 제공자에게 광고 할 것입니다. 그래서 인터넷상의 호스트가 당신의 대중을 안내하는 동료를 통해 당신에게 연락 할 수 있고 당신의 동료에게 연결 지점에 연결된 호스트가 인터넷을 통하지 않고 직접 연락 할 수 있습니다 (최상의 경로로 간주 됨).

BGP 세션의 경우 일반적으로 예를 들어 접두사 목록을 사용하여 동료에게 광고하는 내용과 다운 스트림 피어가있는 경우 자신에게 알리는 내용을 필터링합니다. 거래소는 거래소에 연결된 사람들의 경로 만 보내므로 일반적으로 피어링 거래소에서 인바운드를 필터링하지 않습니다. 이는 일반적으로 전체 글로벌 라우팅 테이블 (인터넷의 모든 목적지)을 전송한다는 점을 제외하면 대중 교통 제공자와 유사합니다.

이 경우 피어링 지점에 연결된 BGP 세션의 아웃 바운드 방향으로 ACL과 일치하는 접두사 목록을 추가하여 / 24 접두사 만 알리면 피어링 교환의 호스트가 / 24의 IP 만 라우터 (원하는 것).

누군가 귀하에게 기본 경로를 광고하고 귀하가 수락하면 트래픽을 가져 가지 않고 인터넷으로 전송하지 않습니다. 이 상황에서는 라우터가 자신에게 광고했기 때문에 라우터가 0.0.0.0/0 (인터넷) 경로를 볼 수 있기 때문에 인터넷을 통한 경로가 표시됩니다.

피어링 교환에 연결된 호스트가 사용자를 통해 인터넷을 볼 수있는 유일한 시간은 교환에 대한 기본 경로를 직접 광고하는 경우입니다. "운송 AS"로 사용될 수있는 유일한 시간은 고객과 다운 스트림 피어 인 고객이 있고 IP 공간을 IXP에 광고하여 고객을 통해 교환에 도달 할 수 있도록 요청하는 경우입니다.