cbq: class-based queuing
DESCRIPTION
CBQ: Class-Based Queuing. Class-Based Tree. Root 100 Mbps. TCP 60 Mbps. ICMP 0Mbps. UDP 40 Mbps. HTTP 30 Mbps. FTP 30 Mbps. Sentido. As regras se aplicam de forma diferente de acordo com o sentido do pacote. Existe uma árvore diferente para cada sentido em cada porta do roteador. - PowerPoint PPT PresentationTRANSCRIPT
CBQ: Class-Based QueuingCBQ: Class-Based Queuing
• Class-Based Tree
Root100 Mbps
TCP60 Mbps UDP
40 Mbps
ICMP0Mbps
HTTP30 Mbps
FTP30 Mbps
SentidoSentido
• As regras se aplicam de forma diferente de acordo com o sentido do pacote.
• Existe uma árvore diferente para cada sentido em cada porta do roteador.
CBQ.1
Inbound: root-input-tree
Outbound: root-output-tree
ROTEADOR CBQ.2
Inbound: root-input-tree
Outbound: root-output-tree
ComandosComandos
• config cbq.1 traffic-class.tcpin protocols tcp parent root-input-tree[ bandwidth-allocation 500000bounded falsemaxbandwidth 6000000priority 1]
• config cbq.1 traffic-class.root-input-treerow-status active
ComandosComandos
• Regra para subrede:– config cbq.1 traffic-class.bancada1
src-ip-addresses 192.168.1.0-192.168.1.20 parent root-input-tree
• Regra de bloqueio:– config cbq.2 traffic-class.udp protocols udp
parent root-input-treebandwidth-allocation 0 bounded true.
• Regra default: (não precisa criar ...)– config cbq.1 traffic-class.other-default
parent root-input-treebandwidth-allocation 0 bounded true
Verificação e AlteraçãoVerificação e Alteração
• show cbq.1 traffic-filters summary
• delete cbq.1 traffic-filter.bancada1
Opções de FiltroOpções de Filtro
• Endereços IP:– src-ip-addresses ip_inicio-ip_fim– dest-ip-addresses ip_inicio-ip_fim
• Portas:– src-ports porta_inicio-porta_fim– dst-port porta_inicio-porta_fim
Opções de FiltroOpções de Filtro
• applications sigla– http, ftp, smtp, etc.– traffic-class.http-out
applications http– traffic-class.http-return
aplications httpEstablished
• protocols sigla ou número– traffic-class.TCP-out protocols TCP– traffic-class.TCPUDP protocols 6-17
Applicações StatefullApplicações Statefull
• allTcp, allTcpEstablished
• allUdp, allUdpEstablished
• allIcmp, allIcmpEstablished
• ftp, ftpEstablished
• http, httpEstablished
• telnet, telnetEstablished
ExemploExemplo
• Criar uma entrada root ativa:– config cbq.1 traffic-class.root-input-tree
row-status active
• Para permitir o tráfego:– config cbq.1.traffic-class.smtp-out parent
root-input-tree applications smtp– config cbq.2.traffic-class.smtp-return
parent root-input-tree applications smtpEstablished
OperadoresOperadores
• operator and
• operator or– config cbq.1 traffic-class.httpserver src-ip-
addresses 192.168.1.2 protocols tcp operator and
ExemploExemplo
• config cbq.3 traffic-class.respostaHTTP – src-ports 80 parent root-input-tree (** ERRADO **)
• config cbq.3 traffic-class.respostaHTTP – src-ports 80 applications allTcpEstablished– parent root-input-tree
roteadorBancada 1 Bancada 2
cbq.3
cliente Servidor HTTPresposta
CenárioCenário
SW1 R1
SW2 R2
SW3 R3
SW4 R4
rede interna 1(192.168.1.0/24)
dmz 1(192.168.2.0/24)
dmz 2(192.168.3.0/24)
rede interna 2(192.168.4.0/24)
internet
192.168.1.1
192.168.2.1
192.168.4.1
192.168.3.1
192.168.2.2
192.168.4.2
192.168.0.5
192.168.0.6
Indentifique as Interfaces na sua redeIndentifique as Interfaces na sua rede
SW1 R1
SW2 R2
rede internaIP:
Mascara:
dmzIP:
Mascara
Internet
cbq.root-input-tree
cbq.root-input-tree
cbq.root-input-tree
cbq.root-input-tree
Considere que os seguintes serviços Considere que os seguintes serviços estão disponíveis na DMZestão disponíveis na DMZ
• SMTP: TCP 25 e IP:
• POP3: TCP 110 e IP:
• HTTP: TCP 80 e IP:
• DNS: UDP 53 e IP:
• FTP: TCP 21 e IP:
Pacotes rede Interna-DMZ Pacotes rede Interna-DMZ
1. HTTPreq: config cbq.
2. POP3req: config cbq.
3. SMTPreq: config cbq.
4. DNSreq: config cbq.
5. FTPreq: config cbq.
Pacotes DMZ-Rede Interna Pacotes DMZ-Rede Interna
1. HTTPresp: config cbq.
2. POP3resp: config cbq.
3. SMTPresp: config cbq.
4. DNSresp: config cbq.
5. FTPresp: config cbq.
Pacotes DMZ-Internet (requisições)Pacotes DMZ-Internet (requisições)
1. HTTPRIreq: config cbq.
2. FTPRIreq: config cbq.
3. SMTPDMZreq: config cbq.
4. DNSDMZreq: config cbq.
Pacotes DMZ-Internet (respostas)Pacotes DMZ-Internet (respostas)
1. HTTPDMZresp: config cbq.
2. FTPDMZresp: config cbq.
3. SMTPDMZresp: config cbq.
4. DNSDMZresp: config cbq.
Pacotes Internet-DMZ (requisições)Pacotes Internet-DMZ (requisições)
1. HTTPREreq: config cbq.
2. FTPREreq: config cbq.
3. SMTPREreq: config cbq.
4. DNSREreq: config cbq.
Pacotes Internet-DMZ (respostas)Pacotes Internet-DMZ (respostas)
1. HTTPREresp: config cbq.
2. FTPREresp: config cbq.
3. SMTPREresp: config cbq.
4. DNSREresp: config cbq.
TestesTestes
• Para simular os servidores na bancada DMZ:– jview mserver porta– Exemplo: jview mserver 21
• Para simular os clientes nas bancadas internas:– jview cliente IPServidor PortaServidor– Exemplo: jview cliente 192.168.1.7 21
• Para simular ataques por spoofing de porta:– jview cliente IPServidor PortaServidor PortaCliente– Exemplo: jview cliente 192.168.1.7 8080 21
VerificaçõesVerificações
1. Os clientes da rede interna conseguem acessar aos servidores na DMZ local?
2. Os clientes da rede interna conseguem acessar aos servidores na DMZ remota?
3. Outras portas de serviços não autorizados estão bloqueadas? Exemplo: ICMP, telnet, etc. Simule este teste criando um servidor telnet na DMZ.
4. Suas regras estão protegidas contra spoofing de porta?