Metodoj de certigado (BGP) Border Gateway Protocol



Border Gateway Protocol estas ĝenerale uzata por enrutigi tre grandan internan reton, ligante plurajn internajn retojn kune aŭ por interdomainaj vojoj tra la interreto pro ĝia forteco kaj skaleblo. Pro la grandeco kaj graveco de la retoj ĝenerale interkonektitaj kun BGP, certigi la protokolon kontraŭ atakoj estas ĉiam bona ideo. Estas multaj manieroj certigi BGP en multaj malsamaj platformoj. Pro la populareco de Cisco-routeroj en la interreto, mi uzos sian komandlinion por iuj agordaj ekzemploj.


Haveno filtrado



Ĉar BGP-kunlaborantoj komunikas tra TCP-haveno 179 estas ĉiam bona ideo filtri komunikadojn super ĉi tiu haveno al viaj konfiditaj adresoj nur super la interfacoj, kiujn ili komunikas. La filtrado povas esti farita per fajroŝirmilo aŭ perimetra router.

Aŭtentikantaj kolegoj

Unu el la plej bazaj sekurecaj formoj kun BGP estas samtempa aŭtentigo. Vi povas simple agordi MD5-klavon en via najbara komunikaĵo, por konfirmi ĉiun segmenton senditan al la TCP-ligo inter la du kolegoj.

ekzemple:
enkursigilo bgp 510
najbaro 132.45.78.3 malproksima - kiel 320
najbaro 132.45.78.3-pasvorto SecureMyBGP123


Malfacila kodo la BGP-versio



La plej ofta versio de BGP hodiaŭ kuras estas BGP-versio 4, tamen defaŭlte BGP negocos BGP-version kun sia samklasano. Se vi jam certas, ke la router (j) kun kiu vi rigardos, ekzekutos BGP-version 4, estas facile agordi ĉi tiun opcion per najbara ordono kaj ĝi povas ŝpari iom da tempo de retrovo se via router falos sub atako.

ekzemple:
enkursigilo bgp 510
najbaro 132.45.78.3 malproksima - kiel 320
najbaro 132.45.78.3-pasvorto SecureMyBGP123
najbaro 132.45.78.3 versio 4


Itinerfilado



Kun la grando de interretaj eniraj tabloj, ĝi estas aparte grava uzi filtrilojn sur BGP-parolantaj routeroj. Alvenantaj vojoj sur eksteraj BGP-parolaj routeroj estas la plej gravaj, sed ankaŭ povas esti grave filtri alvenantajn en viaj internaj BGP-retoj kaj ankaŭ eliraj vojoj sur ambaŭ. Ĉi tio povas kontroli la disvastiĝon de iuj eniraj anomalioj de unu reto al alia. Kun BGP vi povas uzi kaj la distribuan liston aŭ prefiksan liston en via najbara aserto sed ne ambaŭ por la sama samulo. Vi ankaŭ povas uzi ambaŭ listojn de alirkontrolo aŭ prefiksaj listoj kvankam la pli bona alternativo pri CPU-uzokutimo estus la prefiksa listo. En ĉi tiu ekzemplo ni kreos liston de prefikso, kiu nur krom vojojn kun prefikso pli granda ol / 8 kaj malpli ol / 16 kaj tiam apliki tion al nia najbaro kiel envena distribua-listo.

ekzemple:
enkursigilo bgp 510
najbaro 132.45.78.3 malproksima - kiel 320
najbaro 132.45.78.3-pasvorto SecureMyBGP123
najbaro 132.45.78.3 versio 4
najbaro 132.45.78.3 distribuas liston netpolicefilter en
!
!
IP-listaro de prefiksoj netpolicefilter seq 10 permesilo 0.0.0.0 / 0 ge 8 le 16

Null0 (fosaĵujo) itineroj



Antaŭe ni montris ekzemplon de vojfiltrado uzante najbarajn deklarojn kaj prefiksajn listojn, sed kelkfoje la sama povas esti farita per malpli da intensa procesoro. Null0-itineroj faligos iun ajn trafikon egalantan la itineron kaj ne havos pli longan (pli specifan) matĉon en la enrutanta tablo en la fosaĵa sitelo tuj. Ĉi tiu procezo nomiĝas "Nigra Truo Filtranta". La suba ekzemplo certigus, ke iu ajn trafiko destinita al reto 131.50.24.0 / 24 estos sendita rekte al la fosaĵa sitelo, se ne pli longa kongruo troviĝas en la enrutanta tablo.

ekzemple:
enkursigilo bgp 510
najbaro 132.45.78.3 malproksima - kiel 320
najbaro 132.45.78.3-pasvorto SecureMyBGP123
najbaro 132.45.78.3 versio 4
najbaro 132.45.78.3 distribuas liston netpolicefilter en
!
!
IP-listaro de prefiksoj netpolicefilter seq 10 permesilo 0.0.0.0 / 0 ge 8 le 16
!
!
ip-vojo 131.50.24.0 255.255.255.0 null 0

Ŝanĝi najbarojn



Kvankam aferoj kiel problemoj pri ligo, aparataro kaj bendolarĝo povas kaŭzi oftajn supren-subirajn kondiĉojn kun BGP-samulo, ankaŭ povus esti signo de DoS-atako sur la reto. Ŝanĝoj en la stato de najbara enkursigilo de BGP povas esti ensalutitaj per simpla najbara komando se vi havas taŭgan aranĝon en via router. Ia ĉiam bona ideo prifriponeblas registrojn kaj kontrolu ilin ofte.

ekzemple:
enkursigilo bgp 510
najbaro 132.45.78.3 malproksima - kiel 320
najbaro 132.45.78.3-pasvorto SecureMyBGP123
najbaro 132.45.78.3 versio 4
najbaro 132.45.78.3 distribuas liston netpolicefilter en
najbaro 132.45.78.3 registras-najbarajn ŝanĝojn
!
!
IP-listaro de prefiksoj netpolicefilter seq 10 permesilo 0.0.0.0 / 0 ge 8 le 16
!
!
ip-vojo 131.50.24.0 255.255.255.0 null 0