Le 23/07/2015 18:40, David Ponzone a écrit :
Il serait peut-être temps de mettre des ACL ingress pour filtrer tout ce qui
n’a rien à faire là (RFC1918, etc…), ou mieux: n’autoriser que ce qui doit
arriver par l’interface en question si possible.
j'avais pourtant déjà mis du uRPF et des access-group en IN et OUT sur
le Edge (ASR)
interface GigabitEthernet0/0/2
....
* ip access-group SPOOFING-IN in**
** ip access-group 112 out*
ip flow ingress (j'ai aussi un netflow collector via nfsen ...)
ip flow egress
* ip verify unicast reverse-path**
*
asr1-evry#show access-lists SPOOFING-IN (je deny en IN des IP de mon
network qui seraient spoofées depuis l'exterieur !)
Standard IP access list SPOOFING-IN
20 deny X.Y.0.0, wildcard bits 0.0.255.255
30 permit any (2658219251 matches)
asr1-evry#show access-lists 112 (ACL en out qui m'a permis de detecter
le pb par effet de bord ...)
Extended IP access list 112
10 deny ip 192.168.1.0 0.0.0.255 any log-input (44452922 matches)
=> mon pb du moment
20 deny ip 192.168.0.0 0.0.255.255 any log (4847 matches) => il
faut que j'ajoute les autres subnet RFC1918 ....
40 permit ip any any (1058619881 matches)
mais effectivement je ne filtre pas les RFC1918 sur le Core (6500)
il va falloir que je vérifie comment améliorer ces filtrages .
Concernant la charge d'un ASR pour 50Kps qui sature a cause des ACL en
mode "LOG" ,
je pense probablement que c'est cet aspect LOG qui sature et non le
forward de 50Kps sur une telle bête de course
d'ailleurs les messages sur la console indiquent bien ça:
Jul 22 10:19:43 157.159.8.3 1852677: Jul 22 06:47:33.609:
%IOSXE-3-PLATFORM: F0: cpp_cp: QFP:0.0 Thread:025
TS:00025904738204986240 %*PKTLOG-3-PKTLOG_IPC_SEND_FAILED*: IPv4 ACL log
Tail Drop
je serait bien tenté de retirer l'option LOG de mon ACL outgress, mais
inversement, sans ça je n'aurai pas été alerté de la présence de trafics
illégitimes .
un vrais IDS sur le LAN serait peut-etre plus approprié, mais mettre une
boites noires a $$$$ sur un LAN comprenant plusieurs dizaine
d'interfaces 10G et Centaines 1G me parait budgétairement inabordable .
On avait bien un carte FWSM (firewall module) dans le 6500E , mais elle
est deprecated ...
je vais m'orienter vers une application des traditionnels filtres
in/outgress sur mon Core 6500E
http://www.cisco.com/c/en/us/support/docs/ip/access-lists/43920-iacl.html
http://www.techrepublic.com/article/prevent-ip-spoofing-with-the-cisco-ios/
https://www.revelify.com/ingress-and-egress-filtering-with-acls/
Merci pour les conseils .
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
