Apsaugos (BGP) pasienio šliuzo protokolo metodai



Pasienio šliuzo protokolas paprastai naudojamas maršrutuojant labai didelį vidaus tinklą, kartu sujungiant kelis interjero tinklus arba tarpdisciplininį maršrutą per internetą dėl savo patikimumo ir mastelio. Dėl tinklų, paprastai sujungtų su BGP, dydžio ir svarbos, protokolo užtikrinimas iš atakų visada yra gera idėja. Yra daug būdų užtikrinti BGP daugelyje skirtingų platformų. Dėl Cisco maršrutizatorių populiarumo internete aš naudosiu jų komandų eilutę bet kokiems konfigūravimo pavyzdžiams.


Uosto filtravimas



Kadangi BGP bendraamžiai bendrauja per TCP portą 179, visada yra gera idėja filtruoti ryšius per šį uostą į patikimus tarpusavio adresus tik per sąsajas, su kuriomis jie bendrauja. Filtravimą galima atlikti užkardoje arba perimetro maršrutizatoriuje.

Autentiški bendraamžiai

Viena iš pagrindinių BGP saugumo formų yra tarpusavio autentifikavimas. Jūs galite tiesiog konfigūruoti MD5 raktą savo kaimynystėje, todėl kiekvienas segmentas, siunčiamas TCP ryšiu tarp dviejų bendraamžių, bus patikrintas.

Pavyzdys:
maršrutizatorius bgp 510
132.45.78.3 kaimynas 320
kaimynas 132.45.78.3 slaptažodis SecureMyBGP123


Kietasis kodas - BGP versija



Dažniausia šiandienos BGP versija yra BGP versija 4, tačiau pagal nutylėjimą BGP su BGP versija derins su savo bendraamžiais. Jei jau esate tikri, kad maršrutizatorius (-ai), su kuriuo (-iais) bus rodomas „Balsavimo“ (angl. Peering) būdas, bus įdiegta „BGP“ versija 4, tai lengva nustatyti šią parinktį su kaimyniniu pranešimu ir jis gali išsaugoti kai kuriuos tinklo atkūrimo laikotarpius, jei jūsų maršrutizatorius nukentėjo.

Pavyzdys:
maršrutizatorius bgp 510
132.45.78.3 kaimynas 320
kaimynas 132.45.78.3 slaptažodis SecureMyBGP123
132.45.78.3 4 versija


Maršrutų filtravimas



Su interneto maršrutų lentelių dydžiu ypač svarbu naudoti maršrutų filtravimą BGP kalbantys maršrutizatoriai. Įeinantys maršrutai išoriniuose BGP kalbančiuose maršrutizatoriuose yra svarbiausi, tačiau taip pat gali būti svarbu filtruoti gaunamus maršrutus savo vidiniuose BGP tinkluose, taip pat abiejuose maršrutuose. Tai gali kontroliuoti bet kokio maršruto anomalijų sklaidą iš vieno tinklo į kitą. Naudodami „BGP“ galite naudoti tiek platinimo, tiek prefiksų sąrašą savo kaimyniniame pareiškime, bet ne abu tuos pačius bendraamžius. Taip pat galite naudotis tiek prieigos kontrolės sąrašais, tiek prefikso sąrašais, nors geresnė alternatyva, kiek tai susiję su procesoriaus naudojimu, būtų prefiksų sąrašas. Šiame pavyzdyje mes sukursime prefiksų sąrašą, kuris bus taikomas tik maršrutams, kurių prefiksas yra didesnis nei / 8 ir mažesnis nei / 16, ir tada taikys tai mūsų kaimynui kaip atvykstamąjį platinimo sąrašą.

Pavyzdys:
maršrutizatorius bgp 510
132.45.78.3 kaimynas 320
kaimynas 132.45.78.3 slaptažodis SecureMyBGP123
132.45.78.3 4 versija
kaimynas 132.45.78.3 platina sąrašą netpolicefilter į
!
!
IP prefiksų sąrašas netpolicefilter seq 10 leidimas 0.0.0.0 / 0 ge 8 le 16

Null0 (duobės kibiras) maršrutai



Anksčiau mes parodėme maršruto filtravimo pavyzdį naudojant kaimyninius teiginius ir prefiksų sąrašus, bet kartais tas pats dalykas gali būti pasiektas naudojant mažiau procesoriaus intensyvų procesą. Null0 maršrutai sumažins bet kokį maršrutą atitinkantį eismą ir neturės ilgesnio (konkretesnio) maršruto lentelės atitikimo į duobės kibirą. Šis procesas vadinamas „Juodosios skylės filtravimu“. Toliau pateiktas pavyzdys užtikrintų, kad bet koks tinklui 131.50.24.0 / 24 skirtas srautas būtų išsiųstas tiesiai į duobės kaušą, nebent maršruto lentelėje būtų rastas ilgesnis atitikimas.

Pavyzdys:
maršrutizatorius bgp 510
132.45.78.3 kaimynas 320
kaimynas 132.45.78.3 slaptažodis SecureMyBGP123
132.45.78.3 4 versija
kaimynas 132.45.78.3 platina sąrašą netpolicefilter į
!
!
IP prefiksų sąrašas netpolicefilter seq 10 leidimas 0.0.0.0 / 0 ge 8 le 16
!
!
IP maršrutas 131.50.24.0 255.255.255.0 null 0

Prisijungimas prie kaimyno pokyčių



Nors, pavyzdžiui, ryšio, aparatūros ir pralaidumo problemos gali sukelti dažnesnes aukštyn / žemyn sąlygas su BGP bendraamžiais, tai taip pat gali būti DoS atakos tinkle ženklas. BGP gretimų maršrutizatoriaus būsenos pakeitimai gali būti užregistruoti paprasta kaimynų komanda, jei jūsų maršrutizatoriuje tinkamai registruojate. Jis visada yra gera idėja žymėti žurnalus ir dažnai juos patikrinti.

Pavyzdys:
maršrutizatorius bgp 510
132.45.78.3 kaimynas 320
kaimynas 132.45.78.3 slaptažodis SecureMyBGP123
132.45.78.3 4 versija
kaimynas 132.45.78.3 platina sąrašą netpolicefilter į
kaimynų 132.45.78.3 log-kaimyno pokyčiai
!
!
IP prefiksų sąrašas netpolicefilter seq 10 leidimas 0.0.0.0 / 0 ge 8 le 16
!
!
IP maršrutas 131.50.24.0 255.255.255.0 null 0