Профили безопасности

6 min read

Профили безопасности

Для фильтрации принимаемого EcoRouter трафика используются так называемые профили безопасности. Профиль безопасности представляет собой набор правил, определяющих, пакеты каких протоколов будут пропускаться маршрутизатором (и виртуальными маршрутизаторами в его составе).

Для того чтобы создать профиль безопасности необходимо в режиме конфигурации ввести команду security-profile <номер>. В качестве названия профиля задаётся его порядковый номер.

Внутри профиль безопасности содержит правила, определяющие доступ к системе.

Для задания правила используется команда rule <0-1023> [permit | deny] <PROTOCOL> <SOURCE> <DESTINATION> (<DEST PORT> <DP NUMBER>). Параметры команды описаны в таблице ниже.

Таблица — Параметры команды задания правил профиля безопасности

ПараметрОписание
<0-1023>Порядковый номер правила, от 0 до 1023. Правила применяются, начиная с 0 по 1023.
permit | denyТип правила: разрешить (permit) или запретить (deny)
PROTOCOLПакеты какого протокола подпадают под это правило. Может быть указан номер протокола по спецификации IANA от 0 до 255 или одно из следующих обозначений:
- any — пакеты любого протокола,
- gre — GRE пакеты,
- icmp — ICMP пакеты,
- igmp — IGMP пакеты,
- ip — пакеты с IPv4 инкапсуляцией,
- ipcomp — IPComp пакеты,
- ospf — OSPF пакеты,
- pim — PIM пакеты,
- rsvp — RSVP пакеты,
- tcp — TCP пакеты,
- udp — UDP пакеты,
- vrrp — VRRP пакеты
SOURCEIP-адрес источника с длиной маски. Задается в виде A.B.C.D/M. Если под правило должны попадать все адреса, значение параметра должно быть any. Если под правило должен подпадать единственный адрес, в значении параметра указывается host <IP-адрес>
DESTINATIONIP-адрес назначения с длиной маски. Задается в виде A.B.C.D/M. Если под правило должны попадать все адреса, значение параметра должно быть any. Если под правило должен подпадать единственный адрес, в значении параметра указывается host <IP-адрес>
DEST PORTВариант фильтрации. Указывается одно из следующих обозначений:
- eq — номер порта равен …,
- gt — номер порта больше, чем …,
- lt — номер порта меньше, чем …,
- range — номер порта находится в диапазоне …
DP NUMBERНомер или обозначение порта.

Возможные значения для TCP:
- номер порта от 0 до 65535,
- ftp — FTP (21 порт),
- ssh — SSH (22 порт),
- telnet — Telnet (23 порт),
- www — WWW (HTTP, 80 порт).

Возможные значения для UDP:
- номер порта от 0 до 65535,
- bootp — BOOTP (67 порт),
- tftp — TFTP (69 порт).

Если задается диапазон портов (range), то нижняя и верхняя граница диапазона указываются числами через пробел.

Если трафик не подпадает ни под одно из правил, то он пропускается (permit).

В EcoRouter существует жёстко заданный профиль по умолчанию. Изменить его нельзя. Состав профиля по умолчанию:

Security profile default
  0: deny tcp any any eq 22
  1: deny tcp any any eq 23
  2: deny tcp any any eq 161
  3: deny udp any any eq 22
  4: deny udp any any eq 23
  5: deny udp any any eq 161

Management порт и виртуальные маршрутизаторы

Для management порта по умолчанию разрешены все протоколы. Для того чтобы назначить созданный профиль безопасности на management порт, используется команда конфигурационного режима security <SP_NAME> vrf management, где SP_NAME — имя профиля .

Для того чтобы назначить созданный профиль безопасности на VRF по умолчанию (default), используется команда конфигурационного режима security <SP_NAME>. Для того чтобы назначить созданный профиль безопасности на произвольную VRF, используется команда конфигурационного режима security <SP_NAME> vrf <NAME>, где NAME — имя VRF.

Для того чтобы назначить профиль безопасности виртуальному маршрутизатору, необходимо войти в виртуальный маршрутизатор. После чего в конфигурационном режиме виртуального маршрутизатора выполнить команды, аналогичные описанным выше.

Для того чтобы отвязать профиль безопасности от VRF или менеджмент порта, используется аналогичная команда с префиксом no . После этого к VRF или менеджмент порту применяется пустой профиль безопасности с названием security none.

Для удаления всех правил для VRF или менеджмент порта можно назначить пустой профиль безопасности с названием security none.

После назначения профиля безопасности его нельзя менять. Чтобы изменить профиль безопасности, его нужно вначале отвязать от VRF и/или менеджмент порта, которым он назначен.

Для корректной работы рекомендуется сначала отвязывать от виртуального маршрутизатора профиль безопасности, а потом удалять сам маршрутизатор. Для просмотра настроенных профилей безопасности используется команда административного режима show security-profile.

Для просмотра текущих настроек безопасности используется команда административного режима show ip vrf.

Пример настройки профиля безопасности

В примере все команды кроме команд группы show выполняются в конфигурационном режиме.

Создание профиля безопасности и правил:

security-profile 1
rule 0 permit tcp any any eq 23
rule 1 deny udp any any eq 67
rule 2 deny ospf host 127.0.0.12 any
rule 3 deny tcp any 192.168.10.2/24 range 21 23
do show security-profile

Прямо в процессе создания правил, можно удалить ненужное или ошибочное правило командой no rule <NUM>, где NUM — номер правила.

Команда do show security-profile выведет на консоль все профили безопасности включая только что созданный.

Создание VRF и привязка профиля безопасности:

# Создадим VRF с именем vrf0 и тут же завершим работу с VRF.
ip vrf vrf0
exit
 
# Привяжем профиль безопасности 1 к vrf0
security 1 vrf vrf0
end
 
# Проверим результат в выдаче команды show
show ip vrf
 
 VRF default
...
 VRF management
... 
 VRF vrf0
  Interfaces:
 Security profile 1
  0: permit tcp any any eq 23
  1: deny udp any any eq 67
  2: deny ospf 127.0.0.12/32 any
  3: deny tcp any 192.168.10.2/24 range 21 23
  permit any any any 

Внесение изменений в профиль безопасности.

# Зайдём в редактирования профиля безопасности 1
security-profile 1
rule 4 permit any any any
 
# При попытке ввести правило, получим сообщение об ошибке.
# % Profile is set on 1 namespaces. Unset profile prior to change it.
# Для внесения изменений необходимо отвязать профиль безопасности от VRF.
 
# Выходим в конфигурационный режим
exit
 
# Отвязываем профиль безопасности от VRF, 
# редактируем профиль и добавляем правило:
no security 1 vrf vrf0
security-profile 1
rule 4 permit any any any
exit
 
# Снова привязываем провиль безопасности к VRF:
ecorouter(config)#security 1 vrf vrf0
ecorouter(config)#end
 
# Проверим
ecorouter#show ip vrf
...
VRF vrf0
Interfaces:
Security profile 1
0: permit tcp any any eq 23
1: deny udp any any eq 67
2: deny ospf 127.0.0.12/32 any
3: deny tcp any 192.168.10.2/24 range 21 23
4: permit any any any
permit any any any
 
# К vrf0 привязан профиль безопасности 1 со всеми четырьмя правилами.

Удаление профиля безопасности (конфигурационный режим).

# Удаляем профиль безопасности и vrf0
no security 1 vrf
no ip vrf vrf0
end
 
# Проверяем результат
ecorouter#show ip vrf
 VRF default
  Interfaces:
 Security profile default
...
  permit any any any
 
 VRF management

Обработка ICMP echo request пакетов

Обработка ICMP echo request пакетов (ответ на ping) по умолчанию осуществляется в data-plane и не учитывает профии безопасности. Для применения профилей безопасности к ICMP echo request пакетам необходимо выполнить следующую команду конфигурационного режима:

 icmp-echo control-plane

После выполнения этой команды обработка ICMP echo request пакетов будет осуществляться в control-plane, правила профилей безопасности будут учтены. Для исключения обработки ICMP echo request пакетов из действия профилей безопасности необходимо выполнить следующую команду конфигурационного режима:  console  no icmp-echo control-plane   

Graph View