动态控制面板保护
由于违反规定的行为(例如入侵者转移或者分析网络流量)所导致的未经授权的或者恶意的路由更新可能会威胁网络安全 。部署基于报文摘要算法5(MD5)的相邻路由器身份验证是避免伪装的一种常用方法,它实际上确保了路由器从某个可靠的来源获得可靠的信息——但是这仅仅是第一步 。假如伪装的BGP分组开始涌向路由器,接收路径访问控制列表(ACL)和模块化QoS CLI(MQC)速率限制能够准确地控制这些分组的传输 。但是,ACL和MQC控制并不是自动进行的 。假如BGP对等主机关机或者重启,第四层端口编号就会随着每个进程的重新建立而改变 。因此,网络设计人员一直在寻找一种自动、动态的方式来准许经过设置的BGP对等进程和丢弃未经设置的进程 。
为此,CRS-1为线卡分组处理提供了一个DCPP方法 。利用DCPP,经过正确设置的BGP对等进程会自动获得足够的资源,而未经设置的进程则会被丢弃或者获得最低限度的处理 。这种准许-拒绝模式建立在静态设置的IP地址和动态的第四层端口号之间的关联关系的基础上 。在身份验证和建立最大限度的准入控制之前,需要为初始连接设置不同的资源策略 。控制面板分组必须经过是一个多层次的事先筛选流程,直到得到一个内部搜索表的授权之后,它们才会获得足够的资源 。这种自动化的流程可以节约网络治理员为了其他要害任务进行手动设置所需要的时间 。
自动控制面板拥塞过滤器
在严重的DoS或者DDoS攻击导致线卡超出CRS-1的插槽容量时,控制机制会以特定用途集成电路(ASIC)的速度执行,将超出线卡容量的分组导入第三层模块化服务卡(MSC)上的硅分组处理器,从而确保控制面板分组得到优先处理 。在网络治理员利用其他安全工具安装缓解方案以解决问题时,这种功能可以保持拓扑的完整性 。
控制面板TTL完整性检查(RFC 3682,GTSM)
大部分控制协议对等进程都建立在相邻或者直连的路由器之间 。在GTSM(过去被称为BGP TTL安全破解[BTSH])出现之前,从非定向对等节点发往路由器的BGP分组必须由路由器CPU进行处理 。在生成大量这类分组时,它会导致一个严重的DDoS攻击,从而耗尽CPU资源 。现在,治理员可以利用GTSM对BGP对等分组进行TTL检查,从而在MSC SPP中有效地阻止所有非定向BGP伪装分组 。
这些技术还可用于很多其他的应用,例如标签分发协议(LDP)和资源预留协议(RSVP) 。RSVP可以利用通用GTSM的功能 。由于CRS-1采用了完全可编程的MSC架构,GTSM对于其他应用协议的支持可以被方便地添加到MSC 。
BGP路由协议过滤和RPL
BGP是互联网上最基础的路由协议之一 。不幸的是,假如BGP在没有采用适当的前缀过滤措施的情况下遭受攻击,互联网上将会出现大量的“垃圾”流量 。因此,前缀过滤多年以来一直是互联网服务供给商(ISP)行业的最佳实践之一 。(如需了解更多信息,请访问http://www.ispbook.com)
但是,随着路由策略的日益复杂和每台对等路由器必须交互的对等主机的不断增多,服务供给商在如何成功地部署前缀过滤方面面临着艰巨的挑战 。为此,思科推出了RPL,并将其集成到了Cisco IOS XR软件中 。针对大规模路由配置而开发的RPL具有一些重要的功能,可以改进传统路由图中的设置,以及ACL或者面向前缀列表的配置 。
第一项改进是模块化的策略组件 。这样,通用的策略模块可以独立地定义和维护 。这些通用模块可用于其他策略模块,以构成完整的策略,从而减少需要维护的配置信息 。另外,可以为这些通用策略模块设置参数 。这使得网络治理员可以将那些具有相同结构,但是特定参数不同的策略作为独立的策略模块进行维护 。例如,三个除了本地优先值以外完全相同的策略可以表示为一个统一的策略,并使用不同的本地优先值作为策略的参数 。
推荐阅读
- Cisco 1800、2800 和3800 集成多业务路由器的安全特性
- Cisco 675 路由器Web管理拒绝服务漏洞
- Netopia 650-T ISDN路由器用户名和口令泄露漏洞
- Cisco千兆交换路由器ACL被绕过以及拒绝服务攻击
- 路由器VS防火墙 ROUTER典型防火墙设置
- 路由器“黑洞”威胁互联网络安全
- 配置NetScreen208+C3550VLAN间路由
- 防毒别忘了路由器
- 北电网络安全路由技术
- Cisco路由器安全配置