Subject:
Router Juniper
From:
Franco Tinarelli <f.tinarelli@ira.cnr.it>
Date:
Thu, 30 Sep 2004 19:43:22 +0200 (CEST)
To:
Mauro Nanni <nanni@ira.cnr.it>, Simona Tubertini <simona@ira.cnr.it>, Marco Tugnoli <tugnoli@ira.cnr.it>, f.roccato@isac.cnr.it
CC:
Franco Tinarelli <f.tinarelli@ira.cnr.it>

Ciao a tutti,
visto il casino che e' successo in questi giorni, con attacchi vari in area,
vi scrivo alcuni semplici comandi di configurazione del router juniper, nel
tentativo di capire, prima di chiamare il NOC del GARR, se e' un problema risolvibile dall'interno o meno.

PASSO PRIMO: Isolare il problema.

   L'indirizzo dell'interfaccia ATM del nostro router e'  193.206.128.58
   un ping verso questo indirizzo impiega circa 0.5 ms senza perdita di
   pacchetti.

   L'indirizzo dell'interfaccia ATM al di la` del filo e' 193.206.128.57
   un ping verso quell'indirizzo e' normalmente tra 2 e 10 ms senza
   perdita di pacchetti.
   Un ping a questa interfaccia sotto attacco era di oltre 2000 ms e con
   perdita di circa il 70% dei pacchetti.

   Se questo accade di nuovo o siamo sotto attacco o la fibra tra noi e
   il GARR e' in palla.

PASSO SECONDO: Attacco, saturazione o guasto?

   Per capire perche' il collegamento e' intasato si puo' consultare il
   diagramma di carico dei singoli dispositivi e del router, generato da MRTG.
   Se il diagramma e' normale puo' certamente essere un guasto, si chiama il
   NOC e si spera.

   Se il diagramma e' invece vicino alla saturazione della banda si puo'
   usare il router juniper per sapere da quale indirizzo viene generato
   il traffico.

PASSO TERZO: Configurazione del Router.

   Vi collegate al Router Juniper e entrate in configurazione

   > configure

   Salvate la configurazione corrente in un file. il nome ve lo inventate.

   # save juniper.active.cfg

   Cancellate il comando di sampling dei pacchetti verso la porta di mirror

   # delete forwarding-options sampling output

   Create il sampling verso un file

   # set forwarding-options sampling output file filename miofiltro size 65000

   Rendete attiva la configurazione

   # commit

   Analizzate il file di sampling col comando

   # run file show /var/tmp/miofiltro

   che produce un output piu' o meno cosi'

#          Dest             Src  Dest   Src Proto  TOS   Pkt  Intf    IP   TCP
#          addr            addr  port  port              len   num  frag flags
  192.167.177.4  221.218.35.199     0     0     1  0x0    92     5   0x0   0x0
  192.167.177.2  221.218.35.199     0     0     1  0x0    92     5   0x0   0x0
 192.167.168.39  150.178.42.250   110  1050     6  0x0    40     5   0x4000 0x

   Questo comando vi mostra il file di sampling generato dal router ed e'
   quindi possibile vedere se a generare il traffico che satura la banda
   e' un'unico computer come e' avvenuto in questi giorni.

   Dopo aver analizzato il file e' il caso di tornare rapidamente al sampling
   su porta di mirror per non riempire il disco del router

   # load override juniper.active.cfg
   # commit

   Questi due comandi caricano la configurazione salvata ( i comandi per
   configurare il port-mirroring sono piu' complessi di quelli descritti )
   e la attivano.

PASSO QUARTO: filtraggio in/out del computer che "rompe"

   Se il Source Address e' interno bisogna filtrarlo sia in IN che in OUT.
   Se il Source Address e' esterno solo in IN.

   Uscite dalla sezione di configurazione e lanciate una shell unix

   # exit
   > start shell

   Editate (vi) il file salvato in precedenza e inserite le linee di filtro

   % vi juniper.active.cfg

   sotto la riga  'filter services_in {' inserite

            term hosts_deny {
                from {
                    destination-address {
                        xxx.xxx.xxx.xxx/32;
                    }
                }
                then {
                    count hosts_deny;
                    log;
                    discard;
                }
            }

   Dove xxx.xxx.xxx.xxx e' chiaramente il rompicoglioni

   Sotto la riga 'filter services_out {' inserite

            term hosts_deny {
                from {
                    source-address {
                        xxx.xxx.xxx.xxx/32;
                    }
                }
                then {
                    count hosts_deny;
                    log;
                    discard;
                }
            }

   Salvate il tutto con altro nome del tipo juniper.active.filtrato.cfg
   e caricate la configurazione

   % exit
   > configure
   # load override juniper.active.filtrato.cfg
   # commit

   A questo punto la rete dovrebbe tornare al solito carico.

PASSO QUINTO: Togliere i filtri

   Il modo piu' semplice per togliere i filtri e' salvare un nuovo file
   di configurazione, fatelo sempre e non editate il vecchio, altri
   potrebbero aver aggiunto righe di configurazione che andrebbero perse.
   Editatelo, rimuovete i filtri aggiunti, caricatelo e attivatelo.


PER FINIRE:

   Ho scritto questi appunti soprattutto per me, passati alcuni giorni so'
   che avrei scordato tutto. Possono pero' essere utili anche a voi in mia
   assenza e con un duplice benevolo effetto:

     Fate in fretta e NON MI TELEFONATE! ;-))


Franco
  Franco Tinarelli               E-Mail  : f.tinarelli@ira.cnr.it
  C.N.R. Ist. Radioastronomia    Web     : http://www.ira.cnr.it
  Via Gobetti, 101               Phone   : +39 051 6399409
  40129 Bologna - Italy          Fax     : +39 051 6399431