強化Juniper SRX DDoS的安全防護–加強網路內部的安全

-
強化Juniper SRX DDoS的安全防護–加強網路內部的安全
  
首先讓我們重點了解Junos設備服務的基本網絡行為,以及如何加強它們以提供可預測,可靠和安全的操作。

下列為強化網路安全相關的設定命令,方便您複製使用,後面會陸續說明其功用。
set system default-address-selection
set system internet-options tcp-drop-synfin-set
set system internet-options no-tcp-reset drop-all-tcp
set system no-redirects
set system no-ping-record-route
set system no-ping-time-stamp
set protocols lldp interface all disable
set protocols lldp-med interface all disable


地址選擇Address Selection
默認情況下,當路由引擎生成流量(cflowdsyslogNTP等)時,來源地址是最接近目標端口的介面IP地址。
在更大,更多樣化的連接網絡中,中斷(outages)可能會引起預期源地址選擇行為的變化。
為了提高路由引擎產生的流量源地址的可預測性,建議使用環回(lo0)地址。
使用default-address-selection CLI選項指示路由引擎使用
當數據包通過路由接口發送時,回送接口(lo0)作為本地生成的所有IP數據包的源地址。
需要注意的是,當流量通過內置的帶外管理接口(fxp0me0)發送時,這不適用:
set system default-address-selection

提示
使用環回作為源地址的另一個好處是,如果您的所有網絡設備都有一個環回IP地址在相同的網絡範圍內,那麼您可以輕鬆創建網絡防火牆規則,以清楚地識別和允許來自設備的管理流量。
警告
建議在初始配置Junos設備時添加此命令。將此命令添加到生產設備時應該謹慎考慮,並且應該確保所有路由引擎生成的流量在您的環境中繼續按預期工作。


禁止TCP惡意flag以及TCP 探測
TCP惡意flag (SYN-FIN TCP Flags)
先說說TCP惡意flag,大家知道正常TCP協商流程會用到SYNFIN flag標記,SYN用於TCP建立,而FIN用於TCP會話拆除。
但是沒有哪一個正常數據包會同時把SYNFIN放到標記flag裡面,因為邏輯是矛盾衝突的。
可是,有人就會故意人為製造此數據包,並通過發送大量的無效數據包來製造DOS攻擊,並獲悉目標設備的作業系統信息等。
我們可以配置JUNOS丟棄同時含有SYNFIN欄位的無效數據,不做回應。
確定操作系統類型和版本的方法之一是發送非標準數據包類型並分析目標的響應。 這種技術被稱為TCP / IP堆棧指紋識別。 該過程中使用的常見數據包類型之一是一個TCP數據包,其中同時設置了SYNFIN標誌。 這顯然是一個無效的數據包,因為在初始建立連接期間使用SYN標誌,並且在會話關閉時使用FIN標誌。
具有TCP SYN-FIN標誌設置的數據包也可以用於其他惡意目的,應該刪除。 儘管可以使用防火牆過濾器 (firewall filter) 阻止此無效的TCP標誌組合,但Junos[ system internet-options ]層次結構下還有一個選項,用於在內核級別丟棄這些數據包,其配置如下
set system internet-options tcp-drop-synfin-set

TCP探測 (TCP Reset (RST) Packets)
攻擊者為了探測目標網絡設備的埠打開範圍和狀態,可以發送大量的TCP-SYN連接請求,通過查看網絡設備的回覆信息來知曉埠打開情況。
在高強度掃描的情況下,網絡設備的負載會增加,並造成DOS攻擊。
對封閉端口上的服務請求的通常響應是發送RSTRST / ACK
端口掃描實用程序將數據包發送到一系列端口上的網絡設備,並偵聽其響應以確定是否有該服務端口上正在運行的服務。
積極的掃描活動可能會給路由引擎帶來不必要的負擔,並可能對性能造成負面影響或導致拒絕服務(Denial of Service)
*** 配置JUNOS對未開啟的埠不回復TCP-RST,從而讓攻擊者無法知曉此埠是否開啟。***
在這裡,讓我們使用下列的CLI命令:
set system internet-options no-tcp-reset drop-all-tcp

jweidley@mx240# set system internet-options no-tcp-reset ?
Possible completions:
drop-all-tcp Drop all TCP Packets
drop-tcp-with-syn-only Drop only those TCP Packets with SYN bit

You can see the options:
drop-all-tcp: Detects and drops packets with non-standard TCP flag combinations such as FIN/RST, ACK/RST, etc.
drop-tcp-with-syn-only: Detects and drops TCP packets with only the SYN flag set or flag combinations that include the SYN flag.



關閉ICMP重定向
ICMP重定向是路由器向IP數據包的發送者發送的通知,以通知他們到達特定目標主機或網絡的更好方式。 收到重定向後,源設備應修改其路由的方式,然後通過路由器建議的下一跳發送後續數據包。
攻擊者可以利用ICMP重定向的特性,向路由器發送大量的非最優路由的數據包,促使路由器返回成千上萬的ICMP重定向,從而實現DDOS攻擊。
可是,在一個設計良好的網絡環境裡面,是不需要也不應該出現ICMP重定向的信息,為此我們可以關閉它。
同其他廠商類似,JuniperJunos默認是開啟ICMP重定向的。但要全局禁用ICMP重定向,請使用以下命令:
set system no-redirects

有些情況下(可能在初始安裝期間),可能需要啟用重定向,以使網絡在短時間內運行,直到可以實施永久修復。 對於這些情況,工程師可以禁用某些接口上的重定向,並在其他接口上啟用重定向。 使用以下命令可以基於每個接口禁用重定向:
set interfaces ge-0/0/3 unit 50 family inet no-redirects


Ping Timestamp and Record Route
建議從外部源阻止Ping但對於內部主機來說ping是一個非常有用的故障排除工具。通常的做法是將ping限速到路由引擎,以便您可以安全地提供此功能以進行故障排除,而不會危及路由引擎的完整性。 (有關更多詳細信息,請參閱本章中有關保護路由引擎的部分。)
時間戳選項(timestamp option)用於測量到目標主機的往返時間。
記錄路由選項(record route option)對於解決網絡路徑問題非常有用因為與traceroute命令不同它還顯示返迴路由而不僅僅是目標路徑。
可能的安全隱患是時間戳和記錄路由選項回复路由引擎的回送地址,該路由引擎提供的信息比您應該與常規用戶分享的信息要多。
使用以下命令繼續提供這些有用的服務,同時遮蔽路由引擎的身份:
set system no-ping-record-route
set system no-ping-time-stamp



合理使用LLDP鄰居發現
LLDP,類似於CiscoCDP。不過是被IEEE標準化了的鄰居發現協議而已。既然是鄰居發現,自然會完全暴露網絡設備本身的詳細信息。所以僅僅在需要的埠上開啟LLDP,是網絡安全的首選項。
鏈路層發現協議(LLDP - Link Layer Discover Protocol)是供應商中立的標準第2層協議,允許網絡設備在局域網上宣傳其身份和功能。
支持LLDP的設備以類型長度值(TLV - Type Length Values的形式傳輸信息。
這些消息可以包括特定於設備的信息,例如機箱和端口信息,系統名稱和設備功能。
LLDP-Media端點發現(LLDP-MED)是LLDP標準的擴展,支持IP語音(VoIP)端點和其他網絡終端設備之間的互操作性。 LLDP-MED使用額外的TLV信息,如網絡策略發現(network policy discovery) 和以太網供電(PoE - Power over Ethernet)管理。
LLDPLLDP-MEDJunos操作系統中有不同的配置節,但在本節中,這兩者都簡稱為LLDP
LLDP的安全風險是數據包未經過身份驗證或加密,這意味著惡意用戶可以使用技術來進行偵察並獲得有關您的網絡的信息。攻擊者也可能注入偽造的LLDP數據包,試圖發現漏洞或者使設備崩潰並產生拒絕服務(DoS)攻擊。
EX以太網交換平台上,默認情況下在所有接口上啟用LLDP。推薦保護LLDP的方法是僅在需要該功能的特定接口(面向路由器的接口,面向交換機的接口,VoIP電話等)上啟用它。
LLDPLLDP-MED功能是在EX以太網交換平台上引入的,但也已在MX和分支SRX平台中實施。
下圖具有一個示例性網絡拓撲,LLDP僅限於所需的接口。



 set protocols lldp interface all disable
set protocols lldp interface ge-0/0/0.0
set protocols lldp interface ge-0/0/3.0
set protocols lldp-med interface all disable
set protocols lldp-med ge-0/0/1.0

[edit]
jweidley@MX240# edit protocols lldp
[edit protocols lldp]
jweidley@MX240# set protocols lldp interface all disable
[edit protocols lldp]
jweidley@MX240# set protocols lldp interface ge-0/0/0.0
[edit protocols lldp]
jweidley@MX240# set protocols lldp interface ge-0/0/3.0
[edit protocols lldp]
jweidley@MX240# top edit protocols lldp-med
[edit protocols lldp-med]
jweidley@MX240# set interface ge-0/0/1.0

驗證 LLDP 完成後的設定。
[edit protocols]
jweidley@MX240# show
lldp {
    interface all {
        disable;
    }
    interface ge-0/0/0.0;
    interface ge-0/0/3.0;
}
lldp-med {
    interface all {
        disable;
    }
    interface ge-0/0/1.0;

}

查看通過LLDP共享什麼信息
我們可以使用下列命令來查看LLDP獲得哪些信息:
show lldp neighbors interface ge-0/0/0.0



下面還有一些常用的設定,暫時找不到資料說明,請自行參考。
meaning: do not respond to ICMP packets sent to IP broadcast addresses
set system no-multicast-echo

Configure the system and system-options to protect against DoS attacks.
set system arp aging-timer 5
set system internet-options no-ipip-path-mtu-discovery
set system internet-options no-source-quench
set system internet-options icmpv4-rate-limit packet-rate 50
set system internet-options icmpv6-rate-limit packet-rate 50
set system internet-options no-ipv6-path-mtu-discovery
set system internet-options path-mtu-discovery
set system internet-options ipv6-path-mtu-discovery


root@srx100# set system n?
Possible completions:
> name-server          DNS name servers
  nd-maxmcast-solicit  Set Maximum multicast solicit
  nd-retrasmit-timer   Set retransmit timer
  no-compress-configuration-files  Don't compress the router configuration files

  no-debugger-on-alt-break  Disallow kernel debugger on console alt-break
  no-multicast-echo    Disable ICMP echo on multicast addresses
  no-neighbor-learn    Disable neighbor address learning
  no-ping-record-route  Do not insert IP address in ping replies
  no-ping-time-stamp   Do not insert time stamp in ping replies
  no-redirects         Disable ICMP redirects
  no-saved-core-context  Don't save context information for core files
> ntp                  Network Time Protocol services
[edit]
root@srx100# set system internet-options ?                                      
Possible completions:
+ apply-groups         Groups from which to inherit configuration data
+ apply-groups-except  Don't inherit configuration data from these groups
  gre-path-mtu-discovery  Enable path MTU discovery for GRE tunnels
> icmpv4-rate-limit    Rate-limiting parameters for ICMPv4 messages
> icmpv6-rate-limit    Rate-limiting parameters for ICMPv6 messages
  ipip-path-mtu-discovery  Enable path MTU discovery for IP-IP tunnels
  ipv6-duplicate-addr-detection-transmits  IPv6 Duplicate address detection transmits
  ipv6-path-mtu-discovery  Enable IPv6 Path MTU discovery
  ipv6-path-mtu-discovery-timeout  IPv6 Path MTU Discovery timeout (minutes)
  no-gre-path-mtu-discovery  Don't enable path MTU discovery for GRE tunnels
  no-ipip-path-mtu-discovery  Don't enable path MTU discovery for IP-IP tunnels
  no-ipv6-path-mtu-discovery  Don't enable IPv6 Path MTU discovery
  no-path-mtu-discovery  Don't enable Path MTU discovery on TCP connections
  no-source-quench     Don't react to incoming ICMP Source Quench messages
  no-tcp-reset         Do not send RST TCP packet for packets sent to non-listening ports
  no-tcp-rfc1323       Disable RFC 1323 TCP extensions
  no-tcp-rfc1323-paws  Disable RFC 1323 Protection Against Wrapped Sequence Number extension
  path-mtu-discovery   Enable Path MTU discovery on TCP connections
> source-port          Source port selection parameters
  source-quench        React to incoming ICMP Source Quench messages
  tcp-drop-synfin-set  Drop TCP packets that have both SYN and FIN flags
  tcp-mss              Maximum value of TCP MSS for IPV4 traffic (bytes)
[edit]

root@srx100#


IP源路由
路由器使用路由協議進行通信,並交換有關他們知道如何到達的網絡的信息。 數據包根據數據包中包含的目標地址通過網絡路由。 這是合理的行為,因為路由器應該知道將數據包轉發到目的地的最佳方式。
最初的IP RFCRFC 791)包含了用於嚴格和鬆散源路由的IP報頭選項。 通過源路由,數據包的發送者可以指定數據包必須經過的確切路徑(嚴格)或單個網關(鬆散)才能到達目的地。
這些選項的目的是協助網絡故障排除,但惡意用戶也可以使用源路由將數據包定向到特定網段,收集網絡拓撲信息並可能破壞安全限制。
在老版本的Junos中,默認啟用源路由,但可以禁用:
[edit]
jweidley@MX240# set chassis no-source-route

Junos 8.5或更高版本開始,默認情況下禁用IPv4源路由。 如果您的網絡中需要源路由,則可以在[edit routing-options source-routing]層次結構下啟用源路由。 由於行為發生變化,因此Junos CLI會將先前的CLI命令標記為棄用:
[edit]
jweidley@mx240# show chassis
no-source-route; ## Warning: 'source-route' is deprecated  /* 無源路由; ##警告:'source-route'已棄用 */



這個網誌中的熱門文章

如何測試網路連線--網路斷線了怎麼辦?

-
圖片
如何測試網路連線--網路斷線了怎麼辦? 如何測試網路連線 -- 網路不通了 DIY 自行檢測網路連線 當我們打開電腦,卻發現無法上網了,這時候我們該怎麼辦呢 ? 如果在公司的話,我們可以請電腦人員來處理,而若是在家裡,我們就必須 DIY 先自行檢查一遍,如果檢查後仍然不能上網的話,我們也只能請朋友或是廠商來維修了。 而我們又要如何 DIY 先自行檢查呢 ? 請您依照下列步驟來進行: 第一步:進入 DOS 命令列模式。 按 " 視窗鍵 +R 鍵 " ,開啟執行視窗並輸入 " cmd " 後按 enter 鍵來進入 DOS 命令列模式。 第二步:檢查 ip 是否正常。 請輸入 " ipconfig " 來 檢查有無取得正常 IP 或是 IP 設定是否正確。 若電腦要上網,則每台電腦 一 定都要配有一個 IP 位址才行,本例的 IP 位址為 192.168.1.11 。 而 IP 位址分成 公共 IP 與 私有 IP 兩種, 只有公共 IP 才能上網 ( 網際網路 ) ,私有 IP 是無法直接上網的,私有 IP 只能在區域網路中使用 。而因為公共 IP 太少,所以要搭配私有 IP 來上網才行,這樣就可以達到以 100 台電腦,或是以 10000 台電腦,使用私有 IP 經過網路設備的轉換而達成只需使用 1 個公共 IP 就能讓大家一起上網的目的了。 私有 IP 無法直接連接網際網路,需要使用 網絡地址轉換( Network Address Translator , NAT ) 或者 代理伺服器   ( proxy server ) 來實現。與公網 IP 相比,私有 IP 是免費的,同時節省了 IP 位址資源,適合在區域網使用。私有 IP 常被用於家庭,學校和企業的區域網。 私有 IP 的範圍: 192.168.XX. XX 172.16. XX.XX – - 172.31. XX.XX 10. XX.XX.XX 我們只要看到 IP 位址開頭為上述範圍的 IP ,就表示您的 IP 為私有 IP 。 還有一種 ip 位址為 169.254. X.X , 這種
閱讀完整內容

筆記電腦刷BIOS失敗無法開機—用CH341A編程器重刷BIOS教學!

-
圖片
ASUS 筆記電腦更新 BIOS 失敗無法開機 —用 CH341A 編程 器重刷 BIOS 教學! 前一陣子買了一台新的筆記電腦 (∩_∩) ,因此讓跟了我多年的 ASUS A42JA 筆電因此就被束之高閣沒有再被使用了 ヽ (´ ー ` )┌ ,後來想說反正放著不用也是浪費,乾脆就整理一下拿到拍賣網站給便宜賣掉算了 (¬ ‿ ¬) ,於是便動手開始移除個人的資料, 把 WINDOWS 7 系統還原到出廠狀態,順便一起更新 BIOS 的版本 ,而更新的過程很順利,在寫入 100% 後便自行重開機,重開機後小弟發現電源燈與硬碟燈皆恆亮,且螢幕沒有畫面,但小弟當然得等著它繼續開機更新 BIOS ,可是 2 分鐘 .. , 5 分鐘過了 .. ,情況還是一樣,此時心中不禁起了疑惑   (• ิ _• ิ )? ,不會吧 ! 會不會更新失敗了 ? 難道這麼倒楣的事都讓小弟我給碰上了 ? 一直等到十分鐘過後,小弟我終於失去耐性了,便下定決心長按電源鍵來讓筆記電腦強行關機   ( ╯‵ □′) ╯ ︵ ╧═╧ ,然後再開機,結果依然還是沒有畫面,電源燈與硬碟燈都恆亮的情況,小弟仍不死心的又重試了幾次,問題最後終於明朗化了,他媽的 BIOS 真的更新失敗了,對小弟來說一直是傳說中的問題竟被我給遇上了 !!!   。゜゜ (´ O `) ゜゜。 因為這台 ASUS A42JA 筆電已購置多年,早就過保固了,因此小弟先上網 GOOGLE 下,發現這類問題 ASUS 原廠通常是換主機板(這是在論壇上討論的內容),且一片要價 $5000 元   ( ⊙ _ ⊙ ) ,所以送回原廠維修的方案小弟就不考慮了(超出了筆電的價值沒有維修的必要),小弟接著再努力的 GOOGLE 幾下,終於發現 BIOS 更新失敗後似乎可以自行使用燒錄器來重刷 BIOS  (¬_¬;) ,於是這便成為小弟唯一可行的解決方案了。 從網路上找到的刷 BIOS 案例中,發現大多是使用 ”CH341A 編程器 ( 燒錄器 ) ” 來進行燒錄作業,其基本作法是用烙鐵將主機板上的 BIOS 晶片( 芯片 ) 拆下,再用 CH341A 燒錄器將原廠下載的 BIOS 檔案燒入芯片中,最後再將 BIOS 芯片焊接回筆電主機板上。而因為小弟也是電子相關科系出身,也曾拿烙鐵來焊接電子零件,所以
閱讀完整內容

INTEL XTU使用教學以及對筆電應具備的XTU設定概念

-
圖片
INTEL XTU 使用教學以及對筆電應具備的 XTU 設定概念 這篇文章除了教您如何使用 Intel XTU 之外,還告訴您許多 XTU 設定上的觀念,以及如何使用 XTU 來優化您的筆電等,在文中還有新、舊版本的 Intel XTU 開機自啟動相關的設定方法提供給大家來參考看看。 本篇文章主要是從初學者的角度出發來撰寫的,所以內容較為初淺,且繁雜,尚請各位大大多多體諒 ! 內容多為網路上蒐集而來,由小弟加以整理並加入個人的看法,若有校稿不力或是觀念錯誤的地方,尚請各位大大不吝指正,小弟必盡速更正 ! 在此先萬分感謝各位大大的愛護與支持,感謝您 !   內文開始   Intel 原廠網站是這樣說明的: Intel® 極致調整公用程式( Intel ® Extreme Tuning Utility - Intel® XTU )是一種簡易的 Windows 效能調整應用程式,可讓新手和經驗豐富的愛好者超頻、監控和壓力系統。軟體介面有一系列強大的功能,在大部分玩家平臺中都很常見。這種介面在新的 Intel® 處理器和主機板上也有特殊功能。 PS:上面這段話的意思是 -- Intel XTU 是 Intel 所推出的 一種簡易的 Windows 效能調整應用程式,透過對 CPU 電壓與功耗限制等的調整,可讓新手和經驗豐富的愛好者來對 Intel CPU 進行 超頻 、 監控 和 做壓力測試 。以小弟的電腦來說, CPU 經過 XTU 適當的調教之後,可以憑空增加約 30% 左右的效能,這可是得多花好幾千塊錢買更好的電腦才辦的到的事哦 ! 適用於下列產品。     Intel® Core™ i3-7350K 處理器 ( 4M 快取記憶體, 4.20 GHz)     Intel® Core™ i3-8350K 處理器( 8M 快取記憶體, 4.00 GHz )     Intel® Core™ i3-9350K 處理器( 8M 快取記憶體,最高 4.60 GHz )     Intel® Core™ i3-9350KF 處理器( 8M 快取記憶體,最高 4.60 GHz )     Intel® Core™ i5-3570K 處理器 ( 6M 快取記憶體,最高 3.80 GHz)     I
閱讀完整內容