Los productos de enrutador por defecto no aíslan los planos de control, servicio y administración, debido a algunas razones, como la herencia y administración históricas. Los usuarios pueden iniciar sesión y administrar enrutadores a través de interfaces de servicio. Esto plantea el riesgo de un alcance de ataque mayor. Los atacantes explotan fácilmente las interfaces de servicio para iniciar ataques al plano de administración. Para evitar ataques a los aviones, se recomienda configurar el aislamiento para los planos de control, servicio y administración.
En este proyecto, hemos implementado la instancia de VPN en la interfaz de administración y la interfaz de administración de bucle invertido.
Para mejorar la seguridad del dispositivo, podemos implementar MPAC para habilitar el aislamiento de tres planos del dispositivo.
El control de acceso del plano de administración (MPAC) mejora la seguridad del sistema al proteger los dispositivos contra los ataques de denegación de servicio (DoS).
En un escenario de implementación común, el enrutador puede ejecutar múltiples servicios al mismo tiempo, como los servicios de enrutamiento OSPF y BGP, los servicios MPLS LDP y RSVP, el servidor TFTP del servicio del sistema y las funciones de diagnóstico ping y tracert.
Esto permite a los atacantes enviar varios paquetes de ataque al enrutador. A menos que las funciones de protección como MPAC estén habilitadas, el enrutador envía paquetes destinados a sus interfaces (incluida la interfaz de bucle de retorno) directamente a la CPU sin ningún tipo de filtrado. Como resultado, la CPU y los recursos del sistema se desperdician y el sistema sufre ataques DoS.
Para evitar tales ataques, defina una política MPAC para filtrar paquetes.
Por ejemplo, podemos impedir que las interfaces de servicio específicas envíen paquetes de protocolo de administración al plano de administración, de modo que el plano de administración reciba paquetes de protocolo de administración solo desde las otras interfaces de servicio.
Cree dos vistas de políticas MPAC, una para la aplicación global y la otra para la aplicación de la interfaz. Configure una regla para deshabilitar el envío de paquetes de protocolo de administración al plano de administración en el perfil aplicado globalmente. Configure una regla para permitir que solo se envíen paquetes de protocolo de administración específicos al plano de administración en el perfil aplicado a una interfaz.
La hoja de ruta de configuración es la siguiente:
1. Cree dos perfiles de política MPAC en la vista del sistema, uno de ellos aplicado globalmente y el otro aplicado a una interfaz.
2. Inhabilite los paquetes de protocolo de administración para que no se envíen al plano de administración en el perfil para la aplicación global, y permita que solo se envíen paquetes específicos de protocolo de administración al plano de administración en el perfil para la aplicación de interfaz.
3. Aplique la política anterior globalmente y la política última a GE 3/0/1 y la interfaz de red de administración GE 0/0/0.
4. Compruebe las configuraciones y el número de paquetes caídos.
La plantilla de configuración es la siguiente:
Tabla 1-1 NE05/NE20/NE40/NE9000 MPAC Configuration
# service-security policy ipv4 global //Configure the globacl policy, deny the management protocol rule deny protocol ftp rule deny protocol snmp rule deny protocol ssh rule deny protocol telnet rule deny protocol tftp # service-security policy ipv4 interface //Configure the interface policy, permit the management protocol rule permit protocol ftp rule permit protocol snmp rule permit protocol ssh rule permit protocol telnet rule permit protocol tftp # interface GigabitEthernet 0/0/0 //Enable the interface policy first service-security binding ipv4 interface interface GigabitEthernet 3/0/1 service-security binding ipv4 interface # service-security global-binding ipv4 global //After enable the interface policy, then enable the global policy # commit # |