Metode obezbeđivanja (BGP) Border Gateway Protocol



Protokol Border Gateway se obično koristi prilikom usmjeravanja veoma velike interne mreže, povezivanja višestrukih internih mreža ili za interdominalno usmjeravanje preko Interneta zbog svoje robusnosti i skalabilnosti. Zbog veličine i važnosti mreža koje su uglavnom povezane sa BGP-om, obezbeđivanje protokola od napada je uvek dobra ideja. Postoji mnogo načina za osiguravanje BGP-a na mnogim različitim platformama. Zbog popularnosti Cisco routera na Internetu koristit ću njihovu komandnu liniju za bilo koji primjer konfiguracije.


Port filtriranje



Budući da BGP vršnjaci komuniciraju preko TCP porta 179 uvijek je dobra ideja filtrirati komunikaciju preko tog porta na pouzdane peer adrese samo preko sučelja preko kojih će komunicirati. Filtriranje se može obaviti na vatrozidu ili perimetarskom ruteru.

Autentifikacija vršnjaka

Jedan od najosnovnijih oblika sigurnosti sa BGP je peer autentifikacija. Možete jednostavno konfigurirati ključ MD5 u vašoj susjednoj izjavi uzrokujući da se verifikuje svaki segment poslan na TCP vezu između dvaju vršnjaka.

Primjer:
router bgp 510
susjed 132.45.78.3 daljinski kao 320
susedna 132.45.78.3 lozinka SecureMyBGP123


Hard kod BGP verzije



Najčešća verzija BGP-a koja se danas izvodi je BGP verzija 4, ali BGP će po defaultu pregovarati o BGP verziji sa svojim peer-om. Ako ste već sigurni da će ruter (i) sa kojim ćete gledati biti pokrenut BGP verzija 4 je lako postaviti ovu opciju sa susjednom izjavom i može uštedjeti neko vrijeme oporavka mreže ako je vaš ruter bio pod napadom.

Primjer:
router bgp 510
susjed 132.45.78.3 daljinski kao 320
susedna 132.45.78.3 lozinka SecureMyBGP123
susjeda 132.45.78.3 verzija 4


Filtriranje rute



S obzirom na veličinu internetskih tablica usmjeravanja, posebno je važno koristiti filtriranje ruta na BGP govornim ruterima. Dolazne rute na vanjskim BGP govornim ruterima su najvažnije, ali isto tako može biti važno filtrirati dolazne rute na internim BGP mrežama, kao i izlazne rute na oba. Ovo može kontrolirati širenje bilo kojih anomalija usmjeravanja iz jedne mreže u drugu. Sa BGP-om možete koristiti i listu distribute-liste ili prefiks-listu u vašoj susednoj izjavi, ali ne i za isti peer. Možete koristiti i liste za kontrolu pristupa ili liste prefiksa, iako je bolja alternativa što se CPU troši bila prefiks lista. U ovom primjeru napravićemo listu prefiksa koja će samo osim ruta sa prefiksom većim od / 8-a i manje od / 16-a primijeniti to na našeg susjeda kao ulaznu distribucijsku listu.

Primjer:
router bgp 510
susjed 132.45.78.3 daljinski kao 320
susedna 132.45.78.3 lozinka SecureMyBGP123
susjeda 132.45.78.3 verzija 4
susjed 132.45.78.3 distribuira-list netpolicefilter u
!
!
ip prefiks-lista netpolicefilter seq 10 dozvola 0.0.0.0 / 0 ge 8 le 16

Null0 (pit bucket) rute



Prethodno smo prikazali primjer filtriranja ruta koristeći susjedne izjave i prefiksne liste, ali ponekad se ista stvar može postići s manje procesorskim procesom. Null0 rute će ispustiti bilo koji saobraćaj koji odgovara ruti i neće imati duže (specifičnije) uparivanje u tabeli usmjeravanja u jamu odmah. Ovaj proces se zove "Filtriranje crne rupe". Primjer u nastavku bi osigurao da je bilo koji promet koji je namijenjen za mrežu 131.50.24.0 / 24 poslan direktno u jamu kanta ako se ne pronađe duže podudaranje u tablici usmjeravanja.

Primjer:
router bgp 510
susjed 132.45.78.3 daljinski kao 320
susedna 132.45.78.3 lozinka SecureMyBGP123
susjeda 132.45.78.3 verzija 4
susjed 132.45.78.3 distribuira-list netpolicefilter u
!
!
ip prefiks-lista netpolicefilter seq 10 dozvola 0.0.0.0 / 0 ge 8 le 16
!
!
IP put 131.50.24.0 255.255.255.0 null 0

Zapisivanje promjena susjeda



Iako stvari poput veze, hardvera i propusnog opsega mogu prouzrokovati česte uslove gore / dole kod BGP peer-a, to može biti i znak DoS napada na mrežu. Promjene u statusu BGP susjednog rutera mogu se zabilježiti jednostavnom naredbom susjeda ako imate ispravno podešavanje logiranja u ruteru. Uvek je dobra ideja da vremenski žigete dnevnike i da ih često proveravate.

Primjer:
router bgp 510
susjed 132.45.78.3 daljinski kao 320
susedna 132.45.78.3 lozinka SecureMyBGP123
susjeda 132.45.78.3 verzija 4
susjed 132.45.78.3 distribuira-list netpolicefilter u
susjed 132.45.78.3 log-neighbor-changes
!
!
ip prefiks-lista netpolicefilter seq 10 dozvola 0.0.0.0 / 0 ge 8 le 16
!
!
IP put 131.50.24.0 255.255.255.0 null 0