组播网络安全防范及常用方法

组播网络安全防范及常用方法
在组播设计中，我们要考虑到以下组播安全问题，以保证系统内组播的正常运行。

PIM-SM的安全防范
虚假组播源
如果黑客能够产生足够的流量发往组播源,RP或PIM路由器，可能会影响组播的转发。

如果网络设备不能防止未授权的组播源，伪造组播源能够影响组播流。

通常静态指定PIM-SM的RP地址在各个组播路由器上, 且只发送允许的组播源，只允许信任网段的组播接收者。

可以创建过滤器ACL来终止来自源、接收者的RP通知。

可以通过接入控制表ACL、或通过Route-map来验证源地址、接收地址是来自合法的网段。

安全风险包括：DoS, 流劫持（虚假源及虚假RP）。

安全配置如下：
“ip pim accept-register”
RP-list and Group-list configuration using the “rp-announce-filter” command
“ip pim rp-address x.x.x.x ”
“ip igmp access-group”（只能1 －99），只能限定该接口服务的组播组，不能限定本网段某ip加入那个组播组。

pd-jc-chukou(config)#access-list 180 deny igmp host 10.0.1.1 host 230.1.1.1 ? 可以禁止某个接收着向这个列出的特定组播组发生igmp report报文
<0-15> IGMP message type
<cr>
源欺骗
源发送流量到第一跳路由器，第一跳路由器将发送“Register”到RP。

ip pim accept-register 配置RP仅仅接收指定的源。

ip pim accept-register list <acl> | route-map <map>
仅用于候选RP，当Register信息被拒绝, Register-Stop 立即发送到Register源。

RP的配置例子:
ip pim accept-register list 101
access-list 101 permit ip host 10.5.10.20 any
access-list 101 permit ip host 10.5.11.20 any
access-list 101 permit ip host 10.5.10.20 239.192.240.0 0.0.3.255
access-list 101 permit ip host 10.5.11.20 239.192.244.0 0.0.3.255
access-list 101 permit ip host 10.5.11.20 239.192.248.0 0.0.3.255
access-list 101 permit ip host 10.5.11.20 239.255.0.0 0.0.255.255
RP 欺骗
ip pim rp-announce-filter 使用于Mapping Agents，可防止错误配置的路由器成为候选RP。

ip pim rp-announce-filter [rp-list <rp-acl>] [group-list <group-acl>]
配置例子：
ip pim rp-announce-filter rp-list 11 group-list 12
access-list 11 permit 10.6.2.1 IP address of Permitted RP
access-list 12 permit 239.192.240.0 0.0.3.255 Permit MoH
access-list 12 permit 239.192.244.0 0.0.3.255 Permit Low Stream
access-list 12 permit 239.192.248.0 0.0.3.255 Permit Medium Stream
access-list 12 permit 239.255.0.0 0.0.255.255 Permit High Stream
access-list 12 deny 239.0.0.0 0.255.255.255 Deny remaining Admin. Scoped range
access-list 12 permit 224.0.0.0 15.255.255.255 Permit Link Local/Reserved Addr.
ip pim rp-address 为特定的组配置RP。

ip pim rp-address <ip-address> [<group-access-list>] [override] [bidir]
组播接收者/组播成员非法加入组播组防范：
ip igmp access-group 应用于接口，限制该接口的组播组服务地址范围。

但无法限定某个ip能加入哪些组播组。

interface Vlan X
ip igmp access-group 1!
access-list 1 permit w.x.y.z
1. Igmp join/report/queier 的ip/mac地址；的目标地址是什么？
2. GDA地址：224.0.0.1-239.255.255.255; 在igmp report、quier中是否会用为IP
报文的目标地址？
3. pd-jc-chukou(config)#access-list 180 deny igmp host 10.0.1.1 host 230.1.1.1 是
否能禁止某个接收着向这个列出的特定组播组发生igmp report报文。

答：能！。

另需注意：
1) 虽然cisco 的三层接口上可以使用以上类型的access list限制指定的终端加
入标明的组播组报文（igmp report报文），但在与该非法终端同一子网的某个
合法终端已经加入标明的组播组的情况下，二层组播优化工作在igmp snoop
协议的情况下，该非法终端仍然可以非法地接收这些标明的组播组流量。

估计
igmp snoop不会认为非法终端的igmp report是非法的（即使三层网关设备和
igmp snoop设备是同一台设备），因此，igmp snoop设备仍然将组播组流量
转发到该非法终端。

如果的使用vacl的方式来替代access list，igmp snoop
设备将在二层上过滤该非法终端的report报文，最终阻止非法终端在二层上非
法获得组播组流量；
2) 在二层组播优化协议使用cgmp情况下，该非法终端在二层也无法获得组播组
流量。

因为，cgmp 二层交换机对二层组播数据转发物理端口，需要由组播网
关来通知。

因为在组播网关上已经采用access list来过滤非法report 报文，
将不会通知cgmp 交换机打开与非法终端连接的二层端口。

3) 对于合法终端与非法终端通过hub设备（无cgmp功能），共通级联到上级二
层设备（含cgmp功能）的情况，当然无法阻止非法终端获取二层的组播组流
量。

4. 通过access list对组播的数据流量做限制，可以起到什么样的组播安全防范功能呢？
由于组播数据包含的地址是：组播源＋组播组目标地址，因此，在接受者的路由网
关上，使用访问列表只能控制该组播组数据报文：可以/不可以进入接收者所在的
子网，不可能进一步对不同的接受者进行进一步的区分。

回答：igmp ver 1
1. report报文使用，GDA地址作为ip报文的目标地址；
2. quier报文使用224.0.0.1作为ip报文的目标地址；
3。