Skip to main content

Принципы защиты оборудования регионального уровня

 Оборудование регионального уровня непосредственно связано с оборудованием сетей клиентов сети IP/MPLS ПАО «Ростелеком» и, следовательно, подвергается максимальному риску атак из сетей клиентов ПАО «Ростелеком».


Принципы защиты оборудования регионального уровня

      В первую очередь необходима защита маршрутизаторов уровня доступа от несанкционированного доступа с использованием различных сетевых протоколов, а также от некорректной маршрутной информации, как в глобальной таблице маршрутизации, так и в отдельных VRF клиентов.

      В основном защита от несанкционированного доступа производится аналогично защите для маршрутизаторов ядра.

      Поскольку пиринг с сетями клиентов и с сетями других операторов происходит с использованием протокола BGP, то необходима, прежде всего, фильтрация префиксов, приходящих от BGP маршрутизаторов сторонних сетей с целью недопущения попадания некорректной маршрутной информации, анонсируемой маршрутизаторами сторонних сетей в результате ошибки или умышленно. Фильтрация префиксов IPv4 осуществляется на базе списка, приведённого в [RFC6890]. Данный список содержит адреса следующих зарезервированных IETF и не подлежащих выделению сетей:

  • 0.0.0.0/8;
  • 0.0.0.0/1 – 0.0.0.0/32;
  • 10.0.0.0/8;
  • 172.16.0.0/12;
  • 192.168.0.0/16;
  • 127.0.0.0/8;
  • 192.0.0.0/24;
  • 192.0.2.0/24;
  • 169.254.0.0/16;
  • 100.64.0.0/10;
  • 192.88.99.0/24;
  • 198.18.0.0/15;
  • 198.51.100.0/24;
  • 203.0.113.0/24;
  • 224.0.0.0/4;
  • 240.0.0.0/4;

      Фильтрация префиксов IPv6 осуществляется на базе списка, указанного в [RFC6890] следующие префиксы:

  • ::/128;
  • ::1/128;
  • FE80::/10;
  • FC00::/7;
  • 2001::/23;
  • 2002::/16;
  • 64:ff9b::/96;
  • ::ffff:0:0/96;
  • 100::/64;

      С целью уменьшения общего числа префиксов фильтруются все префиксы с маской, длина которой превышает 24 бита для IPv4 и 48 бит для IPv6.
      Такая же фильтрация применяется и при передаче префиксов за пределы автономной системы Ростелеком.

      Пример политики для фильтрации неиспользуемых в сети Internet префиксов на маршрутизаторах Juniper:

protocols {

    bgp {

        group INET_Customers {

            type external;

            neighbor 1.1.1.2 {

                description "### Test Client ###";

                import sanity-check;

                export sanity-check;

                peer-as 65432;

            }

        }

        group INET_v6_Customers {

            type external;

            family inet6 {

                unicast;

            }

            neighbor 1::2 {

                description "### Test IPv6 Client ###";

                import v6-sanity-check;

                export v6-sanity-check;

                peer-as 65432;

            }

        }

    }

}

policy-options {

    policy-statement sanity-check {

        term reject-bogons {

            from policy bogons;

            then reject;

        }

        term accept-blackhole {

            from community type_blackhole_route;

            then next policy;

        }

        term reject-long-prefixes {

            from {

                route-filter 0.0.0.0/0 prefix-length-range /25-/32 reject;

            }

        }

    }

    policy-statement bogons {

        term match-rfc6890-networks {

            from {

                route-filter 10.0.0.0/8 orlonger accept;

                route-filter 172.16.0.0/12 orlonger accept;

                route-filter 192.168.0.0/16 orlonger accept;

                route-filter 0.0.0.0/1 through 0.0.0.0/32 accept;

                route-filter 0.0.0.0/8 orlonger accept;

                route-filter 127.0.0.0/8 orlonger accept;

                route-filter 192.0.0.0/24 orlonger accept;

                route-filter 192.0.2.0/24 orlonger accept;

                route-filter 169.254.0.0/16 orlonger accept;

                route-filter 192.88.99.0/24 orlonger accept;

                route-filter 224.0.0.0/4 orlonger accept;

                route-filter 240.0.0.0/4 orlonger accept;

                route-filter 198.18.0.0/15 orlonger accept;

                route-filter 198.51.100.0/24 orlonger accept;

                route-filter 203.0.113.0/24 orlonger accept;

                route-filter 100.64.0.0/10 orlonger accept;           

            }

        }

        term reject-others {

            then reject;

        }

    }

    policy-statement v6-sanity-check {

        term reject-bogons {

            from policy v6-bogons;

            then reject;

        }

        term reject-long-prefixes {

            from {

                route-filter ::/0 prefix-length-range /48-/128 reject;

            }

        }

    }

    policy-statement v6-bogons {

        term match-rfc6890-networks {

            from {

                route-filter ::/128 exact accept;

                route-filter ::1/128 exact accept;

                route-filter ::/1 through ::/128 accept;

                route-filter FE80::/10 orlonger accept;

                route-filter FC00::/7 orlonger accept;

                route-filter 2001::/23 orlonger accept;

                route-filter 2002::/16 orlonger accept;

                route-filter 64:ff9b::/96 orlonger accept;

                route-filter ::ffff:0:0/96 orlonger accept;

                route-filter 100::/64 orlonger accept;

            }

        }

        term reject-others {

            then reject;

        }

    }

}

      Для снижения вероятности программных сбоев, которые могут произойти в случае большого количества транзитных автономных систем в пути для какого-то префикса, принимаются только анонсы, количество автономных систем в AS_PATH которых не превышает 50. Такое значение не позволяет принимать слишком длинные AS_PATH и в то же время достаточно для корректно сформированных анонсов.

      Пример контроля количества AS в принимаемых анонсах на маршрутизаторах Juniper Networks:

protocols {

    bgp {

        group INET_Customers {

            type external;

            neighbor 1.1.1.2 {

                description "### Test Client ###";

                import restrict-long-as;

                peer-as 65432;

            }

        }

        group INET_v6_Customers {

            type external;

            family inet6 {

                unicast;

            }

            neighbor 1::2 {

                description "### Test IPv6 Client ###";

                import restrict-long-as;

                peer-as 65432;

            }

        }

    }

}

policy-options {

    policy-statement restrict-long-as {

        term reject-long-as_path {

            from as-path too_long_as_path;

            then reject;

        }

    }

    as-path too_long_as_path ".{50,}";

}

      Пример контроля количества AS в принимаемых анонсах на маршрутизаторах Cisco Systems:

router bgp 12389

 bgp maxas-limit 50

!


      Также необходимо запретить приём от клиентов префиксов Ростелеком и маршрута по умолчанию. Значения BGP Community, не предназначенные для использования клиентами (раздел «3.2.1 Маркировка маршрутов»), должны быть удалены.

      Пример запрета приёма префиксов Ростелеком и маршрута по умолчанию:

protocols {

    bgp {

        group INET_Customers {

            type external;

            neighbor 1.1.1.2 {

                description "### Test Client ###";

                local-address 1.1.1.1;

                import INET_CUSTOMER_in;

                peer-as 65432;

            }

        }

        group INET_v6_Customers {

            type external;

            family inet6 {

                unicast;

            }

            neighbor 1::2 {

                description "### Test IPv6 Client ###";

                local-address 1::1;

                import INET__v6_CUSTOMER_in;

                peer-as 65432;

            }

        }

    }

}

policy-options {

    policy-statement INET_CUSTOMER_in {

        term reject-RT-aggregate {

            from policy RT-aggregate;

            then reject;

        }

        term reject-RT-longer-prefixes {

            from policy RT-longer-prefixes;

            then reject;

        }

        term reject-default-route {

            from {

                route-filter 0.0.0.0/0 exact;

            }

            then reject;

        }

        term remove-12389-communities {

            then {

                community delete 12389:1-3X;

                community delete 12389:1UZZ;

            }

        }

    }

    policy-statement RT-aggregate {

        term match-RT-aggregate-networks {

            from {

                route-filter 87.226.128.0/17 exact accept;

                route-filter 79.133.64.0/19 exact accept;

                route-filter 92.50.192.0/18 exact accept;

                route-filter 94.25.0.0/17 exact accept;

            }

        }

        term reject-others {

            then reject;

        }

    }

    policy-statement RT-longer-prefixes {

        term match-RT-longer-prefixes {

            from {

                route-filter 87.226.128.0/17 longer accept;

                route-filter 79.133.64.0/19 longer accept;

                route-filter 92.50.192.0/18 longer accept;

                route-filter 94.25.0.0/17 longer accept;

            }

        }

        term reject-others {

            then reject;

        }

    }

    policy-statement INET_v6_CUSTOMER_in {

        term reject-RT-v6-aggregate {

            from policy RT-v6-aggregate;

            then reject;

        }

        term reject-RT-v6-longer-prefixes {

            from policy RT-v6-longer-prefixes;

            then reject;

        }

        term reject-default-route {

            from {

                route-filter ::/0 exact;

            }

            then reject;

        }

        term remove-12389-communities {

            then {

                community delete 12389:1-3X;

                community delete 12389:1UZZ;

            }

        }

    }

    policy-statement RT-v6-aggregate {

        term match-RT-v6-aggregate-networks {

            from {

                route-filter 2A01:620::/32 exact accept;

            }

        }

        term reject-others {

            then reject;

        }

    }

    policy-statement RT-v6-longer-prefixes {

        term match-RT-v6-longer-prefixes {

            from {

                route-filter 2A01:620::/32 longer accept;

            }

        }

        term reject-others {

            then reject;

        }

    }

    community 12389 members 12389:*;

    community 12389:1-3X members "^12389:.{1,3}$";

    community 12389:1UZZ members "^12389:1…$";

}

      В целях уменьшения влияния анонсов отдельных клиентов на ресурсы маршрутизаторов Сети ограничивается количество префиксов, получаемых от клиентов, значением 1000 для префиксов IPv4 и 100 для IPv6 (это значение может быть изменено для отдельного клиента или пересмотрено для всей Сети при изменении общей ситуации в сети Internet). При превышении 80% от этого значения генерируется сообщение в журнале событий (syslog), а при превышении 100% сессия BGP разрывается и может быть установлена вновь через 30 минут.

      Пример ограничения количества принимаемых префиксов на маршрутизаторах доступа:

protocols {

    bgp {

        group INET_Customers {

            type external;

            family inet {

                unicast {

                    prefix-limit {

                        maximum 1000;

                        teardown 80 idle-timeout 30;

                    }

                }

            }

        }

        group INET_v6_Customers {

            type external;

            family inet6 {

                unicast {

                    prefix-limit {

                        maximum 100;

                        teardown 80 idle-timeout 30;

                    }

                }

            }

        }

    }

}

      В существующей сети ПАО «Ростелеком» для защиты от некорректных маршрутов применяется фильтрация на основе информации Routing Arbiter Database, являющейся одной из наиболее полных на сегодняшний день баз информации о зарегистрированных в региональных центрах регистрации (Regional Internet Registry, RIR) объектах (автономные системы, префиксы, принципы взаимодействия с соседями). Такая фильтрация является очень мощным средством обеспечения безопасности и стабильности.    Кроме того, процесс получения информации и настройки маршрутизаторов автоматизируется с помощью специализированных программных средств. Если номер автономной системы клиента двухбайтный, для формирования имени фильтра на сети IP/MPLS ПАО «Ростелеком» используется форма CUSTOMER:<ASN>, где <ASN> – номер автономной системы клиента или название AS-SET, AS-NUM или AUT-NUM, зарегистрированные в RIR.

      Пример фильтра при приёме маршрутов от клиента:

protocols {

    bgp {

        group INET_Customers {

            neighbor 1.1.1.2 {

                description "### Test Client ###";

                import CUSTOMER:65432;

                peer-as 65432;

            }

        }

    }

}

policy-options {

    policy-statement CUSTOMER:65432 {

        term rtbh {

            from {

                community type_blackhole_route;

                route-filter 2.1.0.0/16 orlonger;

                route-filter 1.2.3.0/24 orlonger;

            }

            then {

                community add NO_EXPORT;

                next-hop discard;

                accept;        

            }

        }

        term prefixes {

            from {

                route-filter 2.1.0.0/16 upto /24;

                route-filter 1.2.3.0/24 exact;

            }

            then next policy;

        }

        then reject;

    }

    community NO_EXPORT members no-export;

    community type_blackhole_route members 12389:55555;

}

      Необходимо отметить, что фильтрация префиксов, получаемых от BGP-маршрутизаторов сторонних сетей, не гарантирует отсутствие входящих пакетов с адресами источников из запрещённых сетей. Как и в случае маршрутизаторов магистрального уровня, необходима настройка списков доступа на внутреннем интерфейсе маршрутизатора, связывающем подсистему управления маршрутизатором с подсистемой коммутации пакетов. Также необходимо запретить возможность записывания данных по протоколу SNMP для всех устройств уровня доступа, кроме маршрутизаторов с функциональностью IP SLA, оставив лишь возможность чтения некоторых параметров необходимых для систем мониторинга и управления, а также для систем биллинга. Для маршрутизаторов с функциональностью IP SLA остается возможность записи по протоколу SNMP в CISCO-RTTMON MIB.
      Таким образом, политика безопасности маршрутизаторов доступа в основном совпадает с политикой безопасности маршрутизаторов ядра. Для организации второго рубежа защиты, ориентированного на защиту не отдельного устройства, а сети от несанкционированного доступа и возможности проведения атак типа отказ в обслуживании необходима настройка фильтрации пакетов на клиентских интерфейсах. Универсальный фильтр, запрещающий прохождение пакетов, в адресах назначения которых указаны адреса интерфейсов внутренних устройств сети IP/MPLS ПАО «Ростелеком», кроме тех, которые обеспечивают функционирование публичных сервисов. Для клиентов, использующих только услуги передачи голосового трафика через устройства голосовых сегментов сети IP/MPLS ПАО «Ростелеком», настраиваются списки доступа, разрешающие доступ только к пограничным контроллерам сессий (SBC) на интерфейсах, посредством которых эти клиенты подключаются к сети.

      Пример настройки фильтрации на клиентских интерфейсах маршрутизаторов доступа:

interfaces {

    ge-2/0/0 {

        unit 2 {

            family inet {

                filter {

                    input Prohibited_Destinations;

                }

            }

        }

    }

}

firewall {

    filter Prohibited_Destinations {

        term RTK_IPMPLS_internal {

            from {

                address {

                    87.226.133.0/24;

                    87.226.134.0/24;

                    87.226.135.0/24;

                    87.226.136.0/24;

                    87.226.137.0/24;

                    87.226.138.0/24;

                    87.226.139.0/24;

                }

            }

            then { 

                discard;

            }

        }

        term RTK_IPMPLS_MGMT {

            from {

                address {

                    87.226.129.0/24;

                    87.226.131.128/27;

                    10.0.0.0/8;

                }

            }

            then {

                discard;

            }

        }

        term default-action {

            then accept;

        }

    }

}

      С целью защиты коммутирующих устройств узла:

  • протокол VTP (VLAN Trunking Protocol) на коммутаторах переводится в режим transparent;
  • приём и передача пакетов Spanning Tree Protocol (STP) запрещается на портах, к которым подключены клиенты;
  • защита от перегрузки интерфейса между маршрутизатором и коммутатором излишним трафиком осуществляется путём ограничения скорости входящего трафика на порту подключения клиента;
  • для предотвращения перегрузки таблицы MAC адресов коммутатора на интерфейсах подключения клиентов настраивается механизм Port Security, позволяющий коммутатору заучить не более определённого количества MAC адресов на этом порту;
  • производится ограничение трафика broadcast/multicast/unknown unicast на интерфейсах подключения клиентов (storm control);
  • не применяются протоколы автоматического обнаружения на уровне 2 (CDP, LLDP, LLDP-MED).

      Соответствующие настройки коммутаторов описаны в разделе «8 Принципы настройки агрегирующих коммутаторов».

Comments

Popular posts from this blog

Почему инженеры электросвязи становятся продажниками

Давно предупреждал инженеров электросвязи - если вы не развиваетесь, то рано или поздно превратитесь либо в дворника, либо в ассенизатора. О чем не предупреждал, каюсь, - так это о том, что локальный апокалипсис наступит прямо сейчас. Взять, например, сетевых инженеров  Ростелекома, которые бодро так искали, кого ещё подключить к интернету последние пару недель в Сочи и в Адлере. Скажете, инженеров заставляют работать продажниками - произвол и несправедливость? Лично я в этом совершенно не уверен. Чтобы было сразу понятно, о чем речь, готов проиллюстрировать свою мысль как работодатель. Мы ведь имеем здесь потенциальный конфликт в отношениях между работником и Ростелекомом , верно? И пока возмущенная общественность твердо стоит на стороне работника, предлагаю посмотреть чуть шире — не со стороны работодателя даже, а так, сбоку. Давайте возьмем, например, меня — типичного работодателя. Так случилось, что на меня работает некоторое количество весьма лояльных и толковых людей, ч

Где искать залив на банковский счет или карту?

Есть несколько способов сделать банковский перевод на карту или счет или иначе на слэнге дроповодов это называется "сделать залив на карту " для начала работы вам понадобиться зайти в чей-то чужой уже существующий кабинет интернет-банка, причем не важно какого, банк может быть любым, главное чтобы на счету " холдера " были хоть какие-то деньги для того, чтобы зайти в интернет банк вам понадобится узнать логин и пароль, смотрим видео о том, как их получить для того, чтобы зайти в чужой интернет-банк: хотя конечно, скажу тебе честно, только ты не обижайся, сейчас все нормальные сделки по обналу делают краснопёрые, сидящие в банках, всякие там внедрённые агенты ФСО, Mi6 или CIA, а льют сотрудники крупных телекомов или штатные работники NSA и GCHQ, а всё остальное - это просто лоховство или чистой воды развод на бабло в виде предоплаты

Залив на карту из онлайн игр

Ломаем игры, увеличиваем деньги и ресурсы Есть такое подозрение, что создатели игр не для того выверяли баланс и придумывали задания, чтобы вы решали их грубым взломом, но все же иногда есть соблазн прибавить себе пару сотен процентов жизни или миллион (или два) в игровой валюте, особенно если эти деньги можно вывести на банковскую карту или Яндекс.Деньги Я помню времена Diablo 2, когда все параметры персонажа лежали в открытом виде, сохраненные на локальном диске твоего игрового компьютера, и их можно было найти и подправить любым HEX-редактором. И прекрасно помню, что после этого игра тут же теряла половину своей прелести. Но, каждый сам себе злобный Буратино. Давай сойдемся на том, что процесс взлома игр может приносить тебе ежемесячный стабильных доход. Второй вариант - когда сюжет в игре увлекательнее игрового процесса, и просто не хочется тратить время при перемалывании толпы монстров или отстреливания кучи хитпоинтов у босса. Речь пойдет о программах, способных по

Сбербанк и дропы с площадки Dark Money, и кто кого?

Крупных открытых площадок в даркнете, специализирующихся именно на покупке-продаже российских банковских данных, обнале и скаме около десятка, самая большая из них – это Dark Money . Здесь есть нальщики, дропы, заливщики, связанный с ними бизнес, здесь льют и налят миллионы, здесь очень много денег, но тебе не стоит пока во все это суваться. Кинуть тут может любой, тут кидали и на десятки миллионов и на десятки рублей. Кидали новички и кидали проверенные люди, закономерности нету. Горячие темы – продажи данных, банковских карт, поиск сотрудников в скам и вербовка сотрудников банков и сотовых операторов, взлом аккаунтов, обнал и советы – какими платежными системы пользоваться, как не попасться милиции при обнале, сколько платить Правому Сектору или патрулю, если попались. Одна из тем – онлайн-интервью с неким сотрудником Сбербанка, который время от времени отвечает на вопросы пользователей площадки об уязвимостях системы банка и дает советы, как улучшить обнальные схемы. Чтобы пользова

Всё больше студенток зарабатывают размещая видео на PornHub

Маше 22 года. На ней спортивные штаны и футболка. Она решила спать с мужчинами гораздо старше ее самой, когда она училась в университете. Свои мысли она выражает спокойно и ясно. " Я люблю секс , - говорит Маша, - и хочу заметить, я хорошо знаю, как им заниматься. Так что найти "папочку" или двух не составило никакого труда". Маша в этом смысле не одинока. Все больше и больше самарских студенток, погребенных под горами долгов, решают найти себе богатого мужчину определенного возраста. Они проводят время с такими "папочками" в обмен на деньги и подарки. "Мой женатый "папочка" давал мне примерно три тысячи за ночь", - говорит Маша. - Его интересовал только секс. Мой разведенный "папочка" давал мне около пяти тысяч рублей на мои расходы".   Будучи студенткой, Маша с трудом сводила концы с концами. "В мой первый год у меня было две работы", - говорит она. "Это было ужасно – я работала в баре, гд

Ютуберы не вписались в бизнес-модель Ростелекома

Операторы связи, применяющие технологии обхода ограничений доступа к сайтам вопреки требованиям властей, могут лишиться лицензии, предупредил Роскомнадзор. Двумя днями ранее провайдеры интернета получили указания не мешать незамедлительным блокировкам ресурсов, которые инициируют органы власти. Эти предупреждения адресованы в том числе компаниям, стремящимся ускорить работу видеохостинга YouTube, массовые проблемы с замедлением которого появились в августе, уверены участники рынка и юристы. По их мнению, текущая ситуация, которая может быть подготовкой к полной блокировке YouTube, уже вызвала сложности, аналогичные тем, что сопровождали блокировку Telegram в 2 018 году. Второе предупреждение Роскомнадзор ужесточил риторику в адрес лицензиатов и интернет-провайдеров. Спустя два дня после указаний не мешать блокировке и затруднению доступа к сайтам с запрещенной информацией регулятор уточнил, что эти распоряжения необходимо исполнять незамедлительно. В противном случае операторы связи мо