ICMP Ataklarına CoPP Önlemi
Daha önceki yazılarda da bahsedildiği üzere UDP, ICMP ya da bunun gibi ataklarla herhangi bir network cihazında gerek kısa süreli gerekse saldırının büyüklüğüne göre uzun süreli karmaşık sorunlar yaratmak pek de zor gözükmüyor. Fakat bu denli sorun yaşanması muhtemel bir ortamda, saldırıya açık cihazların korunması için CoPP (Control Plane Policing) ile gelen trafik belirlenen kurallara uydurularak istenilen güvenlik sağlanabilir. Önceki yazılarda CoPP'in ne olduğu, kullanım yerleri ve örnek konfigurasyonlar üzerinde durulmuştu, bu yazıda ise yine önceki yazının devamı niteliği taşıyan Control Plane Policing kullanılarak hazırladığımız bir topolojide network cihazımızı güvenli olmayan bir bölgeden gelebilcek ICMP ataklarına karşı koruyacağız.
Yukarıdaki topolojide, güvenli olmayan bölgede bulunan 192.168.1.100 ip'li Pc'nin, 10.0.0.1 ip'li Router_Agciyiz'e ICMP atak yapma ihtimalini göz önünde bulundurarak, Pc'nin, Router_Agciyiz ile olan erişimini CoPP ile kontrol altına almak istiyoruz, fakat aynı zamanda güvenli bölgede bulunan Router_Agciyiz_2'nin Router_Agciyiz ile bağlantısına etki etmemek istiyoruz.
Bu amaçlar göz önünde bulundurularak yapmamız gereken konfigürasyon;
1-)Öncelikle yaratacağımız filtreden etkilenmemesini istediğimiz Router_Agciyiz_2 cihazına gereken ayrıcalık tanınır.
Router_Agciyiz#conf t
Router_Agciyiz(config)#access-list 101 deny icmp host 10.0.1.2 any
Router_Agciyiz(config)#access-list 101 permit icmp any any
2-)İstenilen özelliklerde ACL'ler yaratıldıktan sonra yaratılan ACL ile eşleşecek Class-map oluşturulur.
Router_Agciyiz(config)#class-map guvenli_olmayan_bolge
Router_Agciyiz(config-cmap)#match access-group 101
Router_Agciyiz(config-cmap)#exit
3-)Oluşturduğumuz Class-map'i altında tanımlayacağımız Policy-map oluşturulur.
Router_Agciyiz(config)#policy-map ICMP_CoPP
Router_Agciyiz(config-pmap)#class guvenli_olmayan_bolge
4-)İstediğimiz trafik filtreme seçeneğini belirtelim. Bu komutla belirtilen, saniyede 8000 bit trafik akışının sağlanabilceği paketin boyutunun belirleneni aştığı durumlarda paketin drop edileceğidir.Paket üzerinde yapılabilecek farklı işlemler "?" ile listelenmiştir.
Router_Agciyiz(config-pmap-c)#police 8000 conform-action transmit exceed-action ?
drop                                       drop packet
set-clp-transmit                                     set atm clp and send it
set-discard-class-transmit                 set discard-class and send it
set-dscp-transmit                             set dscp and send it
set-frde-transmit                               set FR DE and send it
set-mpls-exp-imposition-transmit          set exp at tag imposition and send it
set-mpls-exp-topmost-transmit              set exp on topmost label and send it
set-prec-transmit                              rewrite packet precedence and send it
set-qos-transmit                              set qos-group and send it
transmit                                      transmit packet
Router_Agciyiz(config-pmap-c)#police 8000 conform-action transmit exceed-action drop
Router_Agciyiz(config-pmap-c-police)#exit
Router_Agciyiz(config-pmap-c)#exit
Router_Agciyiz(config-pmap)#exit
5-)Control-plane altında yazacağımız service-policy input "policy-name" komutyla yarattığımız policy input yönünde
uygulanarak,aktive edilir.
Router_Agciyiz(config)#control-plane
Router_Agciyiz(config-cp)#service-policy input ICMP_CoPP
Router_Agciyiz(config-cp)#exit
Router_Agciyiz(config)#exit
Router_Agciyiz# Görüşmek Üzere..
Bu yazıyı beğendiniz mi?
Hakkında SAFA Kısıkçılar
Ä°TU/BÄ°DB AÄŸ Grubu