Router Teldat AFS Doc. DM786 Rev Mayo, 2008

Transcripción

1 Router Teldat AFS Doc. DM786 Rev Mayo, 2008

2 ÍNDICE Capítulo 1 Introducción Descripción del sistema AFS... 2 Capítulo 2 Configuración del sistema AFS Configuración del sistema AFS [NO] ALG... 5 a) [NO] ALG FTP PORT... 6 b) [NO] ALG PPTP PORT... 6 c) [NO] ALG SIP PORT [NO] ENABLE [NO] TIMEOUT... 6 a) [NO] TIME-OUT GRE... 6 b) [NO] TIME-OUT ICMP... 7 c) [NO] TIME-OUT OTHERS... 7 d) [NO] TIME-OUT TCP... 7 e) [NO] TIME-OUT UDP... 7 Capítulo 3 Monitorización del sistema AFS Comandos de monitorización del sistema AFS LIST ALG a) LIST ALG AWAITED-SESSIONS LIST FRAGMENTATION-CONTROL LIST GLOBAL LIST NAT LIST SESSIONS TOP SESSIONS Capítulo 4 Ejemplos Firewall Priorización de paquetes de VOIP ii -

3 Capítulo 1 Introducción

4 1. Descripción del sistema AFS AFS son las siglas de Advanced Firewall System, un sistema de clasificación y manipulación de paquetes IP desarrollado por Teldat e integrado en el CIT. Para activar el sistema AFS deben estar desactivados el NAT estático (ver manual Dm720), NAT dinámico (ver manual Dm755), PAT (ver manual Dm735) y los controles de acceso IP (ver manual Dm702). Esto es debido a que el sistema AFS sustituye a todos estos sistemas. Al activar el sistema AFS todos los paquetes IP procesados por el router son automáticamente asociados con una sesión. Cuando un paquete es procesado por el router por primera vez se intenta buscar su sesión correspondiente entre las ya existentes y si no se puede encontrar una sesión ya definida a la que asociarlo se crea una nueva y se asigna la nueva sesión a dicho paquete. Las sesiones vienen definidas por la IP origen, la IP destino y el protocolo encapsulado en IP. Si por ejemplo este protocolo es TCP o UDP la sesión viene definida además de por la IP origen y destino por los puertos origen y destino. Así una sesión puede ser un telnet entre dos equipos, un flujo RTP perteneciente a una conversación de voz o un simple ping. Al tener todos los paquetes IP asociados a una sesión es posible establecer criterios de selección de paquetes en base al estado o tipo de su sesión asociada. Así por ejemplo es posible establecer criterios de selección en base a si una sesión es nueva, ya está establecida, no ha recibido todavía contestación del extremo remoto, etc. Además en cada sesión se almacena información relativa a la manipulación de las direcciones IP (NAT) que ha sido realiza, de tal forma que se aplique la misma traslación a todos los paquetes pertenecientes a esa misma sesión. Con esto se consigue acelerar enormemente la aplicación de NAT con configuraciones complejas de múltiples reglas, ya que las reglas de NAT solo necesitan ser consultadas para el primer paquete de cada sesión. Es importante tener en cuenta el orden en el que los sistemas son aplicados cuando se habilita la facilidad AFS. El orden para el procesamiento de un paquete IP es el siguiente: 1- El paquete llega al código encargado de procesar paquetes IP, se comprueba que el checksum IP sea correcto y se le asocia una sesión AFS. 2- IPSEC, si un paquete esta encapsulado en ipsec es desencapsulado antes de proseguir (ver manual Dm739 IPSEC). 3- NAT en destino, si la IP destino debe ser cambiada se aplica en este momento la traslación necesaria (ver manual Dm 788 Nuevo NAT). 4- Filtrado, se comprueba si el paquete encaja con algún criterio de filtrado del interfaz de entrada, si es así se le permite el paso o se descarta en consecuencia (ver manual Dm752 Control de Acceso). 5- ROUTE-MAP, el route-map asociado al interfaz de entrada es comprobado justo antes de consultar la tabla de rutas IP (ver manual Dm 764 Route Mapping). 6- Consulta de la tabla de rutas y determinación del interfaz de salida. ROUTER TELDAT Introducción AFS I - 2

5 7- Filtrado en salida, se consultan las reglas de filtrado en salida del interfaz correspondiente, descartando el paquete si así lo especifican las reglas de filtrado (ver manual Dm752 Control de Acceso). 8- NAT en origen, si la IP origen debe ser cambiada se aplica en este momento la traslación necesaria (ver manual Dm 788 Nuevo NAT). Al tráfico que será encapsulado por IPSEC en el siguiente paso no se le aplica NAT. 9- IPSEC, si un paquete debe ser encapsulado se encapsula en este momento, dicho paquete encapsulado vuelve a ser tratado como un paquete nuevo y pasa por todos los pasos descritos (ver manual Dm739 IPSEC). 10- El paquete es enviado por el interfaz de salida. A continuación se incluye un diagrama de lo explicado: ROUTER TELDAT Introducción AFS I - 3

6 Capítulo 2 Configuración del sistema AFS

7 1. Configuración del sistema AFS Para configurar el sistema AFS debe teclearse FEATURE AFS desde el menú de configuración principal. Config>feature afs Las opciones que se presentan desde el menú de configuración del sistema AFS son las siguientes:? alg enable no time-out Application level gateways config Enable afs subsystem Negate a command or set its defaults Set an specific session time-out Si se desea configurar un vrf en particular se debe acceder primero al menú vrf tal como se explica en el párrafo anterior y después acceder al vrf que se desea configurar. Por ejemplo para configurar el sistema AFS en el vrf teldat : Ejemplo: Config>feature afs vrf teldat AFS vrf config> La configuración del sistema AFS es idéntica tanto para el VRF principal como para los posibles VRFs secundarios, por lo que a partir de ahora se explicará únicamente la configuración del VRF principal [NO] ALG Denominamos aplicaciones venenosas a aquellas aplicaciones que incluyen información de direccionamiento IP y/o puertos TCP/UDP fuera de los campos de cabecera correspondientes. Cada aplicación de este tipo requiere un tratamiento específico para funcionar correctamente a través de un dispositivo que esté realizando NAT. Ejemplos de estas aplicaciones son FTP, SIP, etc. Para solucionar este problema en el sistema AFS se implementan los application level gateway o ALGs, modulos de software encargados de manipular el contenido de los paquetes IP pertenecientes a estas aplicaciones venenosas para ajustar las direcciones y puertos IP según sea necesario. Es importante indicar que por defecto ningún ALG se encuentra cargado en el equipo, por lo que ninguna de estas aplicaciones venenosas funcionan si se les hace NAT y no se carga su correspondiente ALG. ROUTER TELDAT Configuración AFS II - 5

8 a) [NO] ALG FTP PORT Carga un ALG para el protocolo FTP en el puerto TCP indicado, normalmente el 21. ALG FTP PORT <port-number> b) [NO] ALG PPTP PORT Carga un ALG para el protocolo PPTP en el puerto TCP indicado, normalmente el ALG PPTP PORT <port-number> c) [NO] ALG SIP PORT Carga un ALG para el protocolo SIP en el puerto UDP indicado, normalmente el Este ALG unícamente funciona cuando el protocolo SIP se encapsula sobre UDP. ALG SIP PORT <port-number> 1.2. [NO] ENABLE Este comando habilita el sistema AFS. Por defecto el sistema está desactivado así que es necesario activarlo mediante este comando. Este comando únicamente esta disponible para el vrf principal, ya que al habilitar el sistema AFS éste se habilita para todos los VRFs configurados en el equipo. ENABLE 1.3. [NO] TIMEOUT En el sistema AFS las sesiones son creadas dinámicamente, a medida que se van detectando gracias a los paquetes procesados por el router. Estas sesiones son eliminadas después de que pase un tiempo sin que el router procese tráfico asociado a ellas. El tiempo esperado cambia según el protocolo y el estado de la sesión y se configura mediante este comando. a) [NO] TIME-OUT GRE Configura el time-out en segundos para las sesiones GRE. TIME-OUT GRE? steady Time-out for a bidirectional packet flow unreplied Time-out for an unidirectional packet flow unreplied Time-out para las sesiones GRE donde solo se ha procesado tráfico en el sentido origen de la sesión, esto es, no se ha procesado ningún paquete de vuelta. ROUTER TELDAT Configuración AFS II - 6

9 steady Time-out para las sesiones GRE ya establecidas, esto es, se ha procesado al menos un paquete de ida y otro de vuelta. b) [NO] TIME-OUT ICMP Configura el time-out en segundos para las sesiones ICMP. TIME-OUT ICMP? unreplied <to> Icmp unreplied pending session time-out unreplied Time-out para las sesiones ICMP donde solo se ha procesado la petición ICMP pero no la respuesta. c) [NO] TIME-OUT OTHERS Configura el time-out para el resto de protocolos, esto es, que no sean GRE, ICMP, TCP o UDP. TIME-OUT OTHERS <to> d) [NO] TIME-OUT TCP Configura el time-out en segundos para las sesiones TCP según el estado en el que dicha sesión se encuentre. Estos estados están definidos en la RFC 793 Transmission Control Protocol. TIME-OUT TCP? close <to> Close tcp state time-out close-wait <to> Close-wait tcp state time-out established <to> Established tcp state time-out fin-wait <to> Fin-wait tcp state time-out last-ack <to> Last-ack tcp state time-out max-retries <to> Max-retries tcp state time-out syn-received <to> Syn-received tcp state time-out syn-sent <to> Syn-sent tcp state time-out time-wait <to> Time-wait tcp state time-out close close-wait established fin-wait last-ack max-retries syn-received syn-sent time-wait Time-out para las sesiones TCP en estado close. Time-out para las sesiones TCP en estado close-wait. Time-out para las sesiones TCP en estado established. Time-out para las sesiones TCP en estado fin-wait. Time-out para las sesiones TCP en estado last-ack. Time-out para las sesiones TCP en estado max-retries. Time-out para las sesiones TCP en estado syn-received. Time-out para las sesiones TCP en estado syn-sent. Time-out para las sesiones TCP en estado time-wait. e) [NO] TIME-OUT UDP Configura el time-out en segundos para las sesiones UDP. ROUTER TELDAT Configuración AFS II - 7

10 TIME-OUT UDP? unreplied <to> Time-out for an unidirectional packet flow steady <to> Time-out for a bidirectional packet flow unreplied steady Time-out para las sesiones UDP donde solo se ha procesado tráfico en el sentido origen de la sesión, esto es, no se ha procesado ningún paquete de vuelta. Time-out para las sesiones UDP ya establecidas, esto es, se ha procesado al menos un paquete de ida y otro de vuelta. ROUTER TELDAT Configuración AFS II - 8

11 Capítulo 3 Monitorización del sistema AFS

12 1. Comandos de monitorización del sistema AFS Los comandos de monitorización del sistema AFS han de ser introducidos en el menú de monitorización asociado a AFS (). Para acceder a dicho menú se emplea el comando FEATURE AFS en el menú de monitorización del protocolo IP. +feature afs -- AFS Monitor -- Si se desea monitorizar un vrf en particular se debe acceder a él a través del menú AFS. Ejemplo: +feature AFS -- AFS Monitor -- vrf teldat -- AFS Monitor -- AFS teldat vrf+ La monitorización del sistema AFS es idéntica para el VRF principal como para los posibles VRFs secundarios, por lo que a partir de ahora se explicará únicamente la monitorización del VRF principal. Las opciones que se presentan desde el menú de monitorización del sistema AFS son las siguientes:? list top List AFS general information List session traffic information 1.1. LIST ALG a) LIST ALG AWAITED-SESSIONS Lista las sesiones identificadas por los ALG pero que todavía no han sido detectadas por el sistema AFS. Por ejemplo si una sesión de control solicita una apertura de una sesión de datos esta estará considerada como awaited hasta que el sistema AFS detecte el primer paquete perteneciente a dicha sesión de datos. LIST ALG AWAITED-SESSIONS ROUTER TELDAT Monitorización AFS III - 10

13 1.2. LIST FRAGMENTATION-CONTROL Muestra información sobre los controles de fragmentación implementados por el sistema AFS. Los paquetes IP que en realidad son fragmentos de un paquete IP mayor son clasificados y almacenados en una lista, este comando muestra dicha lista. LIST FRAGMENTATION-CONTROL 1.3. LIST GLOBAL Este comando muestra estadisticos globales del sistema AFS. A diferencia del resto de los comandos estos estadísticos son estadísticos del conjunto de los VRFs configurados en el equipo. Ejemplo: LIST GLOBAL LIST GLOBAL AFS Global status (All vrfs) Total active sessions... 1 Maximum number of sessions reached... 2 Maximum number of sessions allowed LIST NAT Lista información relativa a reglas de NAT. LIST NAT <detail> rule <rule-id> detail rule rule-id high-detail low-detail normal-detail Detalle con el que se imprime la información. Información muy detallada. Información muy reducida. Detalle normal. Muestra información de una regla en concreto. Identificador de la regla a mostrar. Ejemplo: list nat high-detail rule 1 Packets processed 0, Bytes processed 0 Dynamic NAT, total entries 4 ( <-> ), used entries 0 ROUTER TELDAT Monitorización AFS III - 11

14 1.5. LIST SESSIONS Muestra las sesiones que tiene actualmente activas el equipo. Permite especificar un string opcional, si se especifica dicho string únicamente se listan las sesiones que lo contengan. LIST SESSIONS <string> Ejemplo 1: Listar todas las sesiones. list sessions Protocol udp(17) dying in 30 secs, packets in router 0 Original :520-> :520 Packets=453 (59796 Bytes) [UNREPLIED] Reply :520-> :520 Packets=0 (0 Bytes) mark=0 Ejemplo 2: Listar las sesiones tcp. list sessions tcp Protocol tcp(6) dying in 73 secs, packets in router 0 TIME_WAIT Original :15107-> :4662 Packets=7 (470 Bytes) Reply :4662-> :15107 Packets=11 (673 Bytes) [STEADY] mark=0 Protocol tcp(6) dying in secs, packets in router 0 ESTABLISHED Original :2903-> :56597 Packets=45 (1955 Bytes) Reply :56597-> :2903 Packets=44 (1904 Bytes) [STEADY] mark=0 Protocol tcp(6) dying in 57 secs, packets in router 0 TIME_WAIT Original :4817-> :80 Packets=5 (967 Bytes) Reply :80-> :4817 Packets=5 (413 Bytes) [STEADY] mark=0 Ejemplo 3: Listar las sesiones tcp con origen o destino la IP list sessions tcp Protocol tcp(6) dying in 73 secs, packets in router 0 TIME_WAIT Original :15107-> :4662 Packets=7 (470 Bytes) Reply :4662-> :15107 Packets=11 (673 Bytes) [STEADY] mark= TOP SESSIONS Permite realizar una medición entre las sesiones AFS para ver cuales son las que están generando más tráfico. AFS config$ top sessions? match Session monitor criteria number Number of sessions to monitor original Original direction of the session packets Match packets/seconds instead of bytes reverse Reverse direction of the session seconds Number of seconds to monitor <cr> Start measuring match number original Permite especificar un string, sólo las sesiones que contengan dicho string son tenidas en cuenta durante la medida. Permite especificar el número de sesiones que se van a imprimir, por defecto son 10. Realiza la clasificación teniendo en cuenta únicamente el tráfico transmitido del origen al destino de la sesión. ROUTER TELDAT Monitorización AFS III - 12

15 packets Si se especifica esta opción la medición se realiza teniendo en cuenta los paquetes por segundo, no los bytes por segundo. reverse Realiza la clasificación teniendo en cuenta únicamente el tráfico transmitido del destino al origen de la sesión. seconds Especifica el tiempo durante el cual se realizará la medición, por defecto son 5 segundos. Ejemplo: Medir las 3 sesiones que más tráfico cursan durante 5 segundos. top sessions number 3 Measuring traffic each 5 seconds:... 1) Overall 10185/17 Original: 9945/11 Reverse: 240/6 (bps/pps) Protocol tcp(6) dying in secs, packets in router 3 ESTABLISHED Original :4461-> :15387 Packets=56 (49728 Bytes) Reply :15387-> :4461 Packets=30 (1200 Bytes) [STEADY] mark=0 2) Overall 5360/6 Original: 4104/4 Reverse: 1256/2 (bps/pps) Protocol tcp(6) dying in secs, packets in router 0 ESTABLISHED Original :4154-> :58133 Packets=20 (20520 Bytes) Reply :58133-> :4154 Packets=12 (6280 Bytes) [STEADY] mark=0 3) Overall 3720/3 Original: 1704/2 Reverse: 2016/1 (bps/pps) Protocol tcp(6) dying in secs, packets in router 2 ESTABLISHED Original :4328-> :4661 Packets=10 (8520 Bytes) Reply :4661-> :4328 Packets=9 (10080 Bytes) [STEADY] mark=0 ROUTER TELDAT Monitorización AFS III - 13

16 Capítulo 4 Ejemplos

17 1. Firewall Se desea configurar un firewall que únicamente permita las conexiones salientes por un interfaz PPP, no las entrantes. Para permitir el uso del protocolo FTP se cargara su ALG, de tal forma que las conexiones entrantes de datos pertenecientes al protocolo FTP sean reconocidas y permitidas, al estar asociadas a una conexión saliente. Configuración: feature afs alg ftp port 21 enable feature access-lists -- Access Lists user configuration -- access-list 5000 entry 1 deny entry 1 session state new entry 2 permit network ethernet0/0 -- Ethernet Interface User Configuration -- ip address ROUTER TELDAT Ejemplo AFS IV - 15

18 network serial0/0 -- Interface Synchronous Serial Line. Configuration -- mtu 1500 speed network ppp1 -- Generic PPP User Configuration -- ip access-group 5000 in ip address unnumbered ppp -- PPP Configuration -- ipcp local address assigned base-interface -- Base Interface Configuration -- base-interface serial0/0 link protocol ip -- Internet protocol user configuration -- route ppp1 ROUTER TELDAT Ejemplo AFS IV - 16

19 2. Priorización de paquetes de VOIP Una oficina dispone de teléfonos IP y softphones utilizando el protocolo SIP para llamar al exterior a través de Internet. Se desea priorizar marcar este tráfico VOIP con el identificador 20 en el campo tos de la cabecera IP y priorizarlo sobre el resto del tráfico. Para ello se activa el sistema AFS y se configura un route-map (ver manual Dm764 Route Map) que marca tanto los paquetes UDP con origen el puerto 5060 (tráfico SIP) como los flujos UDP que el sistema AFS clasifique como RTP. Posteriormente se configura BRS en el interfaz PPP de salida para que priorice dicho tráfico marcado (ver manual Dm715 BRS). Configuración: feature afs enable feature access-lists -- Access Lists user configuration -- access-list 201 entry 1 default entry 1 permit entry 1 tos-octet 20 access-list 5000 entry 1 permit entry 1 rtp entry 2 permit entry 2 source udp port 5060 entry 3 deny ROUTER TELDAT Ejemplo AFS IV - 17

20 network ethernet0/0 -- Ethernet Interface User Configuration -- ip address ip policy route-map mark-rtp network serial0/0 -- Interface Synchronous Serial Line. Configuration -- mtu 1500 speed network ppp1 -- Generic PPP User Configuration -- ip address unnumbered ppp -- PPP Configuration -- ipcp local address assigned base-interface -- Base Interface Configuration -- base-interface serial0/0 link feature route-map -- Route maps user configuration -- route-map "mark-rtp" entry 1 default entry 1 permit entry 1 match ip address 5000 entry 1 set ip tos-octet 20 protocol ip -- Internet protocol user configuration -- route ppp1 feature bandwidth-reservation -- Bandwidth Reservation user configuration -- network ppp1 enable class local 10 class default 40 class voip 100 real-time access-list 201 voip queue-length 32 5 ROUTER TELDAT Ejemplo AFS IV - 18