Le 23/07/2015 18:40, David Ponzone a écrit :
Il serait peut-être temps de mettre des ACL ingress pour filtrer tout ce qui 
n’a rien à faire là (RFC1918, etc…), ou mieux: n’autoriser que ce qui doit 
arriver par l’interface en question si possible.
j'avais pourtant déjà mis du uRPF et des access-group en IN et OUT sur le Edge (ASR)

interface GigabitEthernet0/0/2
 ....
* ip access-group SPOOFING-IN in**
** ip access-group 112 out*
 ip flow ingress (j'ai aussi un netflow collector via nfsen ...)
 ip flow egress
* ip verify unicast reverse-path**
*
asr1-evry#show access-lists SPOOFING-IN (je deny en IN des IP de mon network qui seraient spoofées depuis l'exterieur !)
Standard IP access list SPOOFING-IN
    20 deny   X.Y.0.0, wildcard bits 0.0.255.255
    30 permit any (2658219251 matches)

asr1-evry#show access-lists 112 (ACL en out qui m'a permis de detecter le pb par effet de bord ...)
Extended IP access list 112
10 deny ip 192.168.1.0 0.0.0.255 any log-input (44452922 matches) => mon pb du moment 20 deny ip 192.168.0.0 0.0.255.255 any log (4847 matches) => il faut que j'ajoute les autres subnet RFC1918 ....
    40 permit ip any any (1058619881 matches)

mais effectivement je ne filtre pas les RFC1918 sur le Core (6500)
il va falloir que je vérifie comment améliorer ces filtrages .

Concernant la charge d'un ASR pour 50Kps qui sature a cause des ACL en mode "LOG" , je pense probablement que c'est cet aspect LOG qui sature et non le forward de 50Kps sur une telle bête de course
d'ailleurs les messages sur la console indiquent bien ça:

Jul 22 10:19:43 157.159.8.3 1852677: Jul 22 06:47:33.609: %IOSXE-3-PLATFORM: F0: cpp_cp: QFP:0.0 Thread:025 TS:00025904738204986240 %*PKTLOG-3-PKTLOG_IPC_SEND_FAILED*: IPv4 ACL log Tail Drop

je serait bien tenté de retirer l'option LOG de mon ACL outgress, mais inversement, sans ça je n'aurai pas été alerté de la présence de trafics illégitimes . un vrais IDS sur le LAN serait peut-etre plus approprié, mais mettre une boites noires a $$$$ sur un LAN comprenant plusieurs dizaine d'interfaces 10G et Centaines 1G me parait budgétairement inabordable . On avait bien un carte FWSM (firewall module) dans le 6500E , mais elle est deprecated ...

je vais m'orienter vers une application des traditionnels filtres in/outgress sur mon Core 6500E

http://www.cisco.com/c/en/us/support/docs/ip/access-lists/43920-iacl.html
http://www.techrepublic.com/article/prevent-ip-spoofing-with-the-cisco-ios/
https://www.revelify.com/ingress-and-egress-filtering-with-acls/

Merci pour les conseils .

---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Répondre à