Si tu commençais par ajouter dans SPOOFING-IN un deny sur tout ce qui est RFC1918 et autres saloperies qui n’a rien à faire là. Mais idéalement, il faut mettre ça en ingress de ton réseau. A ce moment là, les logs, ça devient inutile (ou un luxe que tu ne peux plus te permettre).
Le 24 juil. 2015 à 11:30, jehan procaccia INT <jehan.procac...@int-evry.fr> a écrit : > > Le 23/07/2015 18:40, David Ponzone a écrit : >> Il serait peut-être temps de mettre des ACL ingress pour filtrer tout ce qui >> n’a rien à faire là (RFC1918, etc…), ou mieux: n’autoriser que ce qui doit >> arriver par l’interface en question si possible. > j'avais pourtant déjà mis du uRPF et des access-group en IN et OUT sur le > Edge (ASR) > > interface GigabitEthernet0/0/2 > .... > ip access-group SPOOFING-IN in > ip access-group 112 out > ip flow ingress (j'ai aussi un netflow collector via nfsen ...) > ip flow egress > ip verify unicast reverse-path > > asr1-evry#show access-lists SPOOFING-IN (je deny en IN des IP de mon network > qui seraient spoofées depuis l'exterieur !) > Standard IP access list SPOOFING-IN > 20 deny X.Y.0.0, wildcard bits 0.0.255.255 > 30 permit any (2658219251 matches) > > asr1-evry#show access-lists 112 (ACL en out qui m'a permis de detecter le pb > par effet de bord ...) > Extended IP access list 112 > 10 deny ip 192.168.1.0 0.0.0.255 any log-input (44452922 matches) => mon > pb du moment > 20 deny ip 192.168.0.0 0.0.255.255 any log (4847 matches) => il faut que > j'ajoute les autres subnet RFC1918 .... > 40 permit ip any any (1058619881 matches) > > mais effectivement je ne filtre pas les RFC1918 sur le Core (6500) > il va falloir que je vérifie comment améliorer ces filtrages . > > Concernant la charge d'un ASR pour 50Kps qui sature a cause des ACL en mode > "LOG" , > je pense probablement que c'est cet aspect LOG qui sature et non le forward > de 50Kps sur une telle bête de course > d'ailleurs les messages sur la console indiquent bien ça: > > Jul 22 10:19:43 157.159.8.3 1852677: Jul 22 06:47:33.609: %IOSXE-3-PLATFORM: > F0: cpp_cp: QFP:0.0 Thread:025 TS:00025904738204986240 > %PKTLOG-3-PKTLOG_IPC_SEND_FAILED: IPv4 ACL log Tail Drop > > je serait bien tenté de retirer l'option LOG de mon ACL outgress, mais > inversement, sans ça je n'aurai pas été alerté de la présence de trafics > illégitimes . > un vrais IDS sur le LAN serait peut-etre plus approprié, mais mettre une > boites noires a $$$$ sur un LAN comprenant plusieurs dizaine d'interfaces 10G > et Centaines 1G me parait budgétairement inabordable . On avait bien un carte > FWSM (firewall module) dans le 6500E , mais elle est deprecated ... > > je vais m'orienter vers une application des traditionnels filtres in/outgress > sur mon Core 6500E > > http://www.cisco.com/c/en/us/support/docs/ip/access-lists/43920-iacl.html > http://www.techrepublic.com/article/prevent-ip-spoofing-with-the-cisco-ios/ > https://www.revelify.com/ingress-and-egress-filtering-with-acls/ > > Merci pour les conseils . --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
