组播网络安全防范及常用方法 在组播设计中,我们要考虑到以下组播安全问题,以保证系统内组播的正常运行。 PIM-SM的安全防范 虚假组播源 如果黑客能够产生足够的流量发往组播源,RP或PIM路由器,可能会影响组播的转发。如果网络设备不能防止未授权的组播源,伪造组播源能够影响组播流。 通常静态指定PIM-SM的RP地址在各个组播路由器上, 且只发送允许的组播源,只允许信任网段的组播接收者。可以创建过滤器ACL来终止来自源、接收者的RP通知。可以通过接入控制表ACL、或通过Route-map来验证源地址、接收地址是来自合法的网段。 安全风险包括:DoS, 流劫持(虚假源及虚假RP)。 安全配置如下: “ip pim accept-register” RP-list and Group-list configuration using the “rp-announce-filter” command “ip pim rp-address x.x.x.x ” “ip igmp access-group”(只能1 - 99),只能限定该接口服务的组播组,不能限定本网段某ip加入那个组播组。 pd-jc-chukou(config)#access-list 180 deny igmp host 10.0.1.1 host 230.1.1.1 ? 可以禁止某个接收着向这个列出的特定组播组发生igmp report报文 <0-15> IGMP message type 源欺骗 源发送流量到第一跳路由器,第一跳路由器将发送“Register”到 RP。 ip pim accept-register 配置RP仅仅接收指定的源。 ip pim accept-register list | route-map 仅用于候选RP,当Register信息被拒绝, Register-Stop 立即发送到Register源。 RP的配置例子: ip pim accept-register list 101 access-list 101 permit ip host 10.5.10.20 any access-list 101 permit ip host 10.5.11.20 any access-list 101 permit ip host 10.5.10.20 239.192.240.0 0.0.3.255 access-list 101 permit ip host 10.5.11.20 239.192.244.0 0.0.3.255 access-list 101 permit ip host 10.5.11.20 239.192.248.0 0.0.3.255 access-list 101 permit ip host 10.5.11.20 239.255.0.0 0.0.255.255 RP 欺骗 ip pim rp-announce-filter 使用于Mapping Agents,可防止错误配置的路由器成为候选 RP。 ip pim rp-announce-filter [rp-list ] [group-list ] 配置例子: ip pim rp-announce-filter rp-list 11 group-list 12 access-list 11 permit 10.6.2.1 IP address of Permitted RP Permit MoH Permit Low Stream Permit Medium Stream Permit High Stream access-list 12 permit 239.192.240.0 0.0.3.255 access-list 12 permit 239.192.244.0 0.0.3.255 access-list 12 permit 239.192.248.0 0.0.3.255 access-list 12 permit 239.255.0.0 0.0.255.255 access-list 12 deny 239.0.0.0 0.255.255.255 Deny remaining Admin. Scoped range access-list 12 permit 224.0.0.0 15.255.255.255 Permit Link Local/Reserved Addr. ip pim rp-address 为特定的组配置RP。 ip pim rp-address [] [override] [bidir] 组播接收者/组播成员 非法加入组播组防范: ip igmp access-group 应用于接口,限制该接口的组播组服务地址范围。但无法限定某个ip能加入哪些组播组。 interface Vlan X ip igmp access-group 1! access-list 1 permit w.x.y.z 1. Igmp join/report/queier 的ip/mac地址;的目标地址是什么? 2. GDA地址:224.0.0.1-239.255.255.255; 在igmp report、quier中是否会用为IP报文的目标地址? 3. pd-jc-chukou(config)#access-list 180 deny igmp host 10.0.1.1 host 230.1.1.1 是否能禁止某个接收着向这个列出的特定组播组发生igmp report报文。 答:能!。 另需注意: 1) 虽然cisco 的三层接口上可以使用以上类型的access list限制指定的终端加入标明的组播组报文(igmp report报文),但在与该非法终端同一子网的某个合法终端已经加入标明的组播组的情况下,二层组播优化工作在igmp snoop协议的情况下,该非法终端仍然可以非法地接收这些标明的组播组流量。估计igmp snoop不会认为非法终端的igmp report是非法的(即使三层网关设备和igmp snoop设备是同一台设备),因此,igmp snoop设备仍然将组播组流量转发到该非法终端。如果的使用vacl的方式来替代access list,igmp snoop设备将在二层上过滤该非法终端的report报文,最终阻止非法终端在二层上非法获得组播组流量; 2) 在二层组播优化协议使用cgmp情况下,该非法终端在二层也无法获得组播组流量。因为,cgmp 二层交换机对二层组播数据转发物理端口,需要由组播网关来通知。因为在组播网关上已经采用access list来过滤非法report 报文,将不会通知cgmp 交换机打开与非法终端连接的二层端口。 3) 对于合法终端与非法终端通过hub设备(无cgmp功能),共通级联到上级二层设备(含cgmp功能)的情况,当然无法阻止非法终端获取二层的组播组流量。 4. 通过access list对组播的数据流量做限制,可以起到什么样的组播安全防范功能呢?由于组播数据包含的地址是:组播源+组播组目标地址,因此,在接受者的路由网关上,使用访问列表只能控制该组播组数据报文:可以/不可以进入 接收者所在的子网,不可能进一步对 不同的接受者 进行进一步的区分。 回答:igmp ver 1 1. report报文使用,GDA地址作为ip报文的目标地址; 2. quier报文使用224.0.0.1作为ip报文的目标地址; 3 本文来源:https://www.wddqw.com/doc/c3ab2a4a2e3f5727a5e962a6.html