Cómo limitar el tráfico en las interfaces del router Junos
Con el fin de impedir un tipo de denegación de servicio (DoS) en el router Junos, puede utilizar policers Junos para decirle al enrutador qué hacer para limitar el impacto de un ataque de ese tipo.
Algunos ataques DoS en los routers funcionan inundando el router con el tráfico, enviar tanto tráfico al router interfaces de tan rápidamente que las interfaces están desbordados y no pueden manejar el tráfico regular que debe pasar a través de la interfaz.
Uno de los métodos para combatir este ataque es utilizar policers Junos, que se pueden especificar al definir la acción de un filtro de firewall debe tomar. Policers te permiten poner límites a la cantidad de tráfico (o incluso sólo un tipo de tráfico) que una interfaz puede recibir, lo que puede limitar el impacto de los ataques de denegación de servicio.
Policers controlan el ancho de banda máximo permitido (el número medio de bits por segundo) y el tamaño máximo permitido de una sola ráfaga de tráfico cuando se excede el límite de ancho de banda. Cualquier tráfico recibido más allá de los límites establecidos se deja caer.
Policers se utilizan en la acción (después) De un filtro de firewall. Para usarlos en un filtro de firewall, primero definir el controlador de políticas. El siguiente ejemplo crea un controlador de políticas llamada policía-ssh-telnet que establece una tasa máxima de tráfico (ancho de banda) de 1 Mbps y el tamaño máximo de una ráfaga de tráfico superior a este límite (tamaño de ráfaga) de 25K. Tráfico exceder estos límites se descarta.
[editar firewall] fred @ enrutador # set controlador de políticas policía-ssh-telnet si-superior ancho de banda límite 1m [editar firewall] fred @ enrutador # set controlador de políticas policía-ssh-telnet si-superior-size-limit estallar 25k [editar firewall] fred @ enrutador # set controlador de políticas policía-ssh-telnet luego descarta
Luego incluye el controlador de políticas en una acción de filtro cortafuegos. Por ejemplo, puedes añadir a un filtro de firewall SSH-Telnet que ya existe en la interfaz loopback del router:
[editar firewall] fred @ enrutador # filtro plazo fijado límite ssh-telnet acceso plazo luego policerpolice-ssh-telnet [editar firewall] fred @ enrutador # filtro de consigna de límite-ssh-telnet término acceso plazo luego aceptar
El tráfico que se ajusta a los límites en el controlador de políticas tomará la acción que especifique en el término firewall - en este caso, se acepta - mientras que el tráfico que supera los límites en el controlador de políticas tomará la acción especificada allí - en este caso, es descartado.
Limitante de la velocidad de flujo de tráfico al motor de enrutamiento definiendo policers es una buena práctica de seguridad para evitar que el motor de enrutamiento de ser abrumado por el tráfico no deseado o por posibles ataques en el router. Todos los procesos de protocolo de enrutamiento se ejecutan en el motor de enrutamiento, que es fundamental para el funcionamiento básico del propio router. Cuando estos procesos no se pueden ejecutar normalmente, el resultado puede ser una desestabilización de la red.