ICMP Ataklarına CoPP Önlemi

Daha önceki yazılarda da bahsedildiği üzere UDP, ICMP ya da bunun gibi ataklarla herhangi bir network cihazında gerek kısa süreli gerekse saldırının büyüklüğüne göre uzun süreli karmaşık sorunlar yaratmak pek de zor gözükmüyor. Fakat bu denli sorun yaşanması muhtemel bir ortamda, saldırıya açık cihazların korunması için CoPP (Control Plane Policing) ile gelen trafik belirlenen kurallara uydurularak istenilen güvenlik sağlanabilir. Önceki yazılarda CoPP’in ne olduğu, kullanım yerleri ve örnek konfigurasyonlar üzerinde durulmuştu, bu yazıda ise yine önceki yazının devamı niteliği taşıyan Control Plane Policing kullanılarak hazırladığımız bir topolojide network cihazımızı güvenli olmayan bir bölgeden gelebilcek ICMP ataklarına karşı koruyacağız.


Yukarıdaki topolojide, güvenli olmayan bölgede bulunan 192.168.1.100 ip’li Pc’nin, 10.0.0.1 ip’li Router_Agciyiz’e ICMP atak yapma ihtimalini göz önünde bulundurarak, Pc’nin, Router_Agciyiz ile olan erişimini CoPP ile kontrol altına almak istiyoruz, fakat aynı zamanda güvenli bölgede bulunan Router_Agciyiz_2’nin Router_Agciyiz ile bağlantısına etki etmemek istiyoruz.
Bu amaçlar göz önünde bulundurularak yapmamız gereken konfigürasyon;

1-)Öncelikle yaratacağımız filtreden etkilenmemesini istediğimiz Router_Agciyiz_2 cihazına gereken ayrıcalık tanınır.
Router_Agciyiz#conf t
Router_Agciyiz(config)#access-list 101 deny icmp host 10.0.1.2 any
Router_Agciyiz(config)#access-list 101 permit icmp any any

2-)İstenilen özelliklerde ACL’ler yaratıldıktan sonra yaratılan ACL ile eşleşecek Class-map oluşturulur.
Router_Agciyiz(config)#class-map guvenli_olmayan_bolge
Router_Agciyiz(config-cmap)#match access-group 101
Router_Agciyiz(config-cmap)#exit

3-)Oluşturduğumuz Class-map’i altında tanımlayacağımız Policy-map oluşturulur.
Router_Agciyiz(config)#policy-map ICMP_CoPP
Router_Agciyiz(config-pmap)#class guvenli_olmayan_bolge

4-)İstediğimiz trafik filtreme seçeneğini belirtelim. Bu komutla belirtilen, saniyede 8000 bit trafik akışının sağlanabilceği paketin boyutunun belirleneni aştığı durumlarda paketin drop edileceğidir.Paket üzerinde yapılabilecek farklı işlemler “?” ile listelenmiştir.

Router_Agciyiz(config-pmap-c)#police 8000 conform-action transmit exceed-action ?
drop                                                                      drop packet
set-clp-transmit                                               set atm clp and send it
set-discard-class-transmit                           set discard-class and send it
set-dscp-transmit                                            set dscp and send it
set-frde-transmit                                              set FR DE and send it
set-mpls-exp-imposition-transmit           set exp at tag imposition and send it
set-mpls-exp-topmost-transmit               set exp on topmost label and send it
set-prec-transmit                                            rewrite packet precedence and send it
set-qos-transmit                                              set qos-group and send it
transmit                                                               transmit packet

Router_Agciyiz(config-pmap-c)#police 8000 conform-action transmit exceed-action drop
Router_Agciyiz(config-pmap-c-police)#exit
Router_Agciyiz(config-pmap-c)#exit
Router_Agciyiz(config-pmap)#exit

5-)Control-plane altında yazacağımız service-policy input “policy-name” komutyla yarattığımız policy input yönünde
uygulanarak,aktive edilir.
Router_Agciyiz(config)#control-plane
Router_Agciyiz(config-cp)#service-policy input ICMP_CoPP
Router_Agciyiz(config-cp)#exit
Router_Agciyiz(config)#exit

Router_Agciyiz# Görüşmek Üzere..

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir