Rate-Limits für bösartigen Traffic: Tuning ohne legitimen Traffic zu stören

Das Tuning von Rate-Limits auf Cisco-Routern ist ein entscheidender Bestandteil des Hardening-Prozesses, um bösartigen Traffic einzudämmen, ohne legitimen Netzwerkverkehr zu beeinträchtigen. Angriffe wie DoS oder Brute-Force können die Control Plane oder Management-Interfaces überlasten. Durch gezielte Rate-Limits lassen sich diese Bedrohungen abwehren, während produktiver Traffic weiterhin ungestört fließt.

Grundprinzipien beim Rate-Limiting

• Schutz der Control Plane: Verhindern, dass die CPU durch unerwünschte Pakete überlastet wird
• Minimalbeeinträchtigung: Legitimer Traffic muss ungehindert passieren
• Granularität: Limits nach Protokollen, Source-IP oder Service
• Auditierbarkeit: Logging für überwachte und gedroppte Pakete

Traffic-Klassifizierung

1. Identifizieren von bösartigem oder potenziell schädlichem Traffic

class-map match-any MALICIOUS-TRAFFIC
 match protocol icmp
 match protocol tcp
 match access-group 101

• ICMP-Floods oder unautorisierte TCP-Verbindungen gezielt identifizieren
• Access-Group kann unerwünschte Source-IP-Bereiche oder Subnets definieren

2. Separieren von Control-Plane-Traffic

class-map match-any CONTROL-PLANE
 match protocol bgp
 match protocol ospf
 match protocol ssh

• Legitimer Control-Plane-Traffic bleibt priorisiert und unbeeinträchtigt
• Wichtig für Routing-Stabilität und Management

Policy Map und Rate-Limits

1. Rate-Limits für bösartigen Traffic

policy-map TRAFFIC-LIMIT-POLICY
 class MALICIOUS-TRAFFIC
  police 5000 800 conform-action transmit exceed-action drop
 class CONTROL-PLANE
  priority 100000
 class class-default
  police 100000 8000 conform-action transmit exceed-action drop

• MALICIOUS-TRAFFIC auf 5000 bps limitieren, überschüssige Pakete droppen
• CONTROL-PLANE Traffic hat Priorität und wird nicht gedroppt
• Default Traffic mit moderatem Rate-Limit schützen

2. Anwendung auf Control Plane

control-plane
 service-policy input TRAFFIC-LIMIT-POLICY

• Policy wird auf eingehenden Traffic zur CPU angewendet
• Reduziert Risiko von DoS-Angriffen ohne legitimen Traffic zu blockieren

Best Practices für Tuning von Rate-Limits

• Analyse von Traffic-Profilen vor Implementierung der Limits
• Kontinuierliches Monitoring und Anpassung der Rate-Limits
• Separate Policies für Edge- und Core-Router erstellen
• Nur bekannte und notwendige Protokolle priorisieren
• Logging aktivieren, um Dropped-Pakete zu überprüfen
• Testing in Lab-Umgebung vor produktivem Rollout

Praxisbeispiel CLI-Zusammenfassung

! Traffic-Klassifizierung
class-map match-any MALICIOUS-TRAFFIC
 match protocol icmp
 match protocol tcp
 match access-group 101
class-map match-any CONTROL-PLANE

match protocol bgp

match protocol ospf

match protocol ssh
! Policy Map mit Rate-Limits

policy-map TRAFFIC-LIMIT-POLICY

class MALICIOUS-TRAFFIC

police 5000 800 conform-action transmit exceed-action drop

class CONTROL-PLANE

priority 100000

class class-default

police 100000 8000 conform-action transmit exceed-action drop
! Policy auf Control Plane anwenden

control-plane

service-policy input TRAFFIC-LIMIT-POLICY

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.