Vidéo: Dual WAN Configuration on RV0xx Series Routers 2024
Afin de contrer un type d'attaque de déni de service (DoS) sur votre routeur Junos, vous peut utiliser les policiers Junos pour indiquer au routeur ce qu'il faut faire pour limiter l'impact d'une telle attaque.
Certaines attaques DoS sur les routeurs fonctionnent en inondant le routeur de trafic, envoyant tellement de trafic aux interfaces de routeur si rapidement que les interfaces sont débordées et ne peuvent pas gérer le trafic régulier qui devrait passer par l'interface.
Une méthode pour lutter contre cette attaque consiste à utiliser des policiers Junos, que vous pouvez spécifier lorsque vous définissez l'action qu'un filtre de pare-feu doit prendre. Les indicateurs vous permettent de limiter la quantité de trafic (ou même le type de trafic) qu'une interface peut recevoir, ce qui peut limiter l'impact des attaques DoS.
Les autorités contrôlent la bande passante maximale autorisée (nombre moyen de bits par seconde) et la taille maximale autorisée d'une seule rafale de trafic lorsque la limite de bande passante est dépassée. Tout trafic reçu au-delà des limites définies est supprimé.
Les policiers sont utilisés dans la partie action (alors) d'un filtre de pare-feu. Pour les utiliser dans un filtre de pare-feu, vous devez d'abord définir le policer. L'exemple suivant crée un policer appelé police-ssh-telnet qui définit un débit de trafic maximum (bande passante) de 1 Mbps et la taille maximale d'une rafale de trafic dépassant cette limite (taille de la rafale) de 25K. Le trafic dépassant ces limites est ignoré.
[éditer le pare-feu] fred @ routeur # régler le policier police-ssh-telnet si-dépasser la limite de bande passante 1m [éditer le pare-feu] fred @ routeur # définir le policier police-ssh-telnet if-dépasser burst-size-limit 25k [éditer le pare-feu] fred @ router # définir le policer police-ssh-telnet puis rejeter
Puis inclure le policer dans une action de filtrage de pare-feu. Par exemple, vous pouvez l'ajouter à un filtre de pare-feu SSH-Telnet qui existe déjà sur l'interface de bouclage du routeur:
[éditer le pare-feu] fred @ routeur # définir le filtre limite-ssh-telnet terme access-term puis policer police-ssh-telnet [éditer le pare-feu] fred @ routeur # définir le filtre limit-ssh-telnet terme access-term puis accepter
Le trafic conforme aux limites du policer prendra l'action que vous spécifiez dans le terme de pare-feu - dans ce cas, il est accepté - alors que le trafic qui dépasse les limites du policer prendra l'action spécifié ici - dans ce cas, il est mis au rebut.
Un flux de trafic limitant le débit vers le moteur de routage en définissant des règles est une bonne pratique de sécurité pour éviter que le moteur de routage ne soit submergé par un trafic indésirable ou par d'éventuelles attaques sur le routeur.Tous les processus de protocole de routage s'exécutent sur le moteur de routage, ce qui est essentiel pour le fonctionnement du routeur lui-même. Lorsque ces processus ne peuvent pas fonctionner normalement, le résultat peut être une déstabilisation du réseau.
