[NikBSDOpen]

Ну вот на SRX я к сожалению не нашел как сделать подобное.

 

А на SRX еще проще, чем на MX. Режте NTP через "Screens"

Можно попробовать еще через AppFW, но там лицензия нужна. Впринципе, можно использовать тестовую для установки "сигнатур", после окончания срока, они, для AppFW остаются активными.

А если активно IDP, то я думаю, что валидный ntp трафик можно "вычленить".

 

Извеняюсь, наверное немного не так понял.

Имелось в виду наверное как сделать следующее ?

 

Match: start l3-start offset 11 size 1 regex "\x2A"

Match: field UDP dest-port eq 123

 

Думаю, что только через IDP добавлять сигнатуру.

 

Но теоритически, если "заScreen'ить" "untrust -> клиент", то ничего не мешает получить время, через правило, "клиент -> untrust". Это касается защиты самой железки. Если в атаке завязаны клиенты из внутренней зоны, то тогда вешать на используемую политику пользователей, "AppFW".

 

Как то так.

 

Да, наверное можно еще с помощью firewall filter рещить проблему.

 

Приблизительно так, "матчить" валидный "NTP", остальное отбрасывать. Хотя я лично не пробовал проделать следующее, за результат ручаться не могу.

 

[edit firewall filter police-ntp term ntp from]

- destination-prefix-list {

- customers-ip-addresses;

- }

- protocol [ tcp udp ];

- destination-port ntp;

+ destination-prefix-list {

+ customers-ip-addresses;

+ }

+ packet-length 152;

+ fragment-flags "\x2A";

+ protocol [ tcp udp ];

+ destination-port ntp;

 

И навесить "полисер" на интерфейс.

 

Извеняюсь, за частые редактирования, понедельник, простужен -> каша в голове.

Изменено 3 марта, 2014 пользователем NikBSDOpen

[dwemer]

fragment-flags вроде не о том?

[NikBSDOpen]

fragment-flags вроде не о том?

 

Да может и не о том. Тестировать как то не хочется. Первое, это нужно вывесить железку и дождаться, когда прилетит "привет" по ntp, а дальше экпериментировать.

Но идея заключалась в том, что бы отфильтровать пакеты больше чем 152 байта на 123 порт, остальное дропать.

 

Match fragment flags (in symbolic or hex formats) — (Ingress only) вроде как подходит, но повторюсь, я не тестировал на srx в силу вышесказанного, но исходя из сообщений ув. "darkagent" , у него что то подобное работает на cisco asr.

 

Собственно значение "\x2A" взято за пример, для всего лишь одного из нескольких примеров.

 

Вывод | compare показал из за того, что значение jun принял, но это не повод делать именно так. Всего лишь один из примеров (возможных петей решения).