博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
Quagga上使用验证加固BGP会话安全
阅读量:6427 次
发布时间:2019-06-23

本文共 2132 字,大约阅读时间需要 7 分钟。

Quagga上使用验证加固BGP会话安全

BGP协议运行于TCP之上,因而,它也继承了TCP连接的所有漏洞。例如,在一个BGP会话内,攻击者可以冒充一个合法的BGP邻居,然后说服另一端的BGP路由器共享路由信息给攻击者。在攻击者通告并向邻居路由注入伪造的路由时,就会发生这个问题。毫无戒备的邻居路由器就会开始向攻击者发送通信实况,实际上这些信息并没有去向任何地方,仅仅只是被丢弃了。回到2008年,YouTube实际上也这样的BGP路由中毒,并遭受了长达一个小时的视频服务大量中断。一个更加糟糕的情况是,如果攻击者是个足够懂行的人,他们可以伪装成一台透明路由器,然后嗅探经过的通信以获取敏感数据。你可以想象,这会造成深远的影响。

要保护活跃的BGP会话不受攻击,许多服务提供商在BGP会话中使用。在受保护的BGP会话中,一台发送包的BGP路由器通过使用预共享的密钥生成MD5散列值、部分IP和TCP头以及有效载荷。然后,MD5散列作为一个TCP选项字段存储。在收到包后,接受路由器用同样的方法使用预共享密钥生成它的MD5版本。它会将它的MD5散列和接收到的某个包的值进行对比,以决定是否接受该包。对于一个攻击者而言,几乎不可能猜测到校验和或其密钥。对于BGP路由器而言,它们能在使用包的内容前确保每个包的合法性。

在本教程中,我们将为大家演示如何使用MD5校验和以及预共享密钥来加固两个邻居间的BGP会话的安全。

准备

加固BGP会话安全是相当简单而直截了当的,我们会使用以下路由器。

路由器名称 AS 号 IP地址
router-A 100 10.10.12.1/30
router-B 200 10.10.12.2/30

常用的Linux内核原生支持IPv4和IPv6的TCP MD5选项。因此,如果你从全新的构建了一台Quagga路由器,TCP的MD5功能会自动启用。剩下来的事情,仅仅是配置Quagga以使用它的功能。但是,如果你使用的是FreeBSD机器或者为Quagga构建了一个自定义内核,请确保内核开启了TCP的MD5支持(如,Linux中的CONFIGTCPMD5SIG选项)。

配置Router-A验证功能

我们将使用Quagga的CLI Shell来配置路由器,我们将使用的唯一的一个新命令是‘password’。

 
    
     
         
  1. [root@router-a ~]# vtysh
    2.  
         
  2. router-a# conf t
    3.  
         
  3. router-a(config)# router bgp 100
    4.  
         
  4. router-a(config-router)# network 192.168.100.0/24
    5.  
         
  5. router-a(config-router)# neighbor 10.10.12.2 remote-as 200
    6.  
         
  6. router-a(config-router)# neighbor 10.10.12.2 password xmodulo
    7.  
        
 
    
本例中使用的预共享密钥是‘xmodulo’。很明显,在生产环境中,你需要选择一个更健壮的密钥。
 
    
注意: 在Quagga中,‘service password-encryption’命令被用做加密配置文件中所有明文密码(如,登录密码)。然而,当我使用该命令时,我注意到BGP配置中的预共享密钥仍然是明文的。我不确定这是否是Quagga的限制,还是版本自身的问题。
 
    
配置Router-B验证功能
 
    
我们将以类似的方式配置router-B。
 
    
 
    
     
         
  1. [root@router-b ~]# vtysh
    2.  
         
  2. router-b# conf t
    3.  
         
  3. router-b(config)# router bgp 200
    4.  
         
  4. router-b(config-router)# network 192.168.200.0/24
    5.  
         
  5. router-b(config-router)# neighbor 10.10.12.1 remote-as 100
    6.  
         
  6. router-b(config-router)# neighbor 10.10.12.1 password xmodulo
    7.  
        
 
    
验证BGP会话
 
    
如果一切配置正确,那么BGP会话就应该起来了,两台路由器应该能交换路由表。这时候,TCP会话中的所有流出包都会携带一个MD5摘要的包内容和一个密钥,而摘要信息会被另一端自动验证。
 
    
我们可以像平时一样通过查看BGP的概要来验证活跃的BGP会话。MD5校验和的验证在Quagga内部是透明的,因此,你在BGP级别是无法看到的。
 
    
 
    
如果你想要测试BGP验证,你可以配置一个邻居路由,设置其密码为空,或者故意使用错误的预共享密钥,然后查看发生了什么。你也可以使用包嗅探器,像tcpdump或者Wireshark等,来分析通过BGP会话的包。例如,带有“-M ”选项的tcpdump将验证TCP选项字段的MD5摘要。
 
    
小结
 
    
在本教程中,我们演示了怎样简单地加固两台路由间的BGP会话安全。相对于其它协议而言,配置过程非常简明。强烈推荐你加固BGP会话安全,尤其是当你用另一个AS配置BGP会话的时候。预共享密钥也应该安全地保存。
 
    
原文发布时间:2015-05-27
 
    
本文来自云栖合作伙伴“linux中国”
 
   
 
  
 
转载地址:http://eubga.baihongyu.com/

        

        

            你可能感兴趣的文章
        

        
            

                
C#中三种截屏方式总结

                
查看>>

            

        
            

                
Spring.net 学习笔记之ASP.NET底层架构

                
查看>>

            

        
            

                
C# System.Windows.Forms.WebBrowser中判断浏览器内核和版本

                
查看>>

            

        
            

                
Java 动态太极图 DynamicTaiChi (整理)

                
查看>>

            

        
            

                
微信公众平台后台编辑器上线图片缩放和封面图裁剪功能

                
查看>>

            

        
            

                
git使用教程2-更新github上代码

                
查看>>

            

        
            

                
张掖百公里,再次折戟

                
查看>>

            

        
            

                
SAP QM Batch to Batch的转移过账事务中的Vendor Batch

                
查看>>

            

        
            

                
本期最新 9 篇论文,帮你完美解决「读什么」的问题 | PaperDaily #19

                
查看>>

            

        
            

                
图解SSIS监视文件夹并自动导入数据

                
查看>>

            

        
            

                
Lucene.Net 2.3.1开发介绍 —— 四、搜索(一)

                
查看>>

            

        
            

                
MyBatis Review——开发Dao的方法

                
查看>>

            

        
            

                
技术研发国产化进程加快 看传感器企业如何展示十八般武艺

                
查看>>

            

        
            

                
技术助力第三次革命

                
查看>>

            

        
            

                
《HTML与CSS入门经典(第8版)》——2.6 总结

                
查看>>

            

        
            

                
新手指南:在 Ubuntu 和 Fedora 上安装软件包

                
查看>>

            

        
            

                
在 CentOS7.0 上搭建 Chroot 的 Bind DNS 服务器

                
查看>>

            

        
            

                
大型网站的 HTTPS 实践(二):HTTPS 对性能的影响

                
查看>>

            

        
            

                
《Swift 权威指南》——第6章,第6.10节嵌套函数

                
查看>>

            

        
            

                
《自己动手做交互系统》——1.3 本章小结

                
查看>>

            

        
    






    

            

                
喝酒易醉,品茶养心,人生如梦,品茶悟道,何以解忧?唯有杜康!-- 愿君每日到此一游!

                

                    当前时间: 2025-01-16 01:52:27  
                    当前IP: 18.189.143.150  
                    联系邮箱:javaeecc@qq.com
                        Copyright © 2020 - 2022 baihongyu.com
                    京ICP备2021015314号-2
                

            


                
                    

                    强烈建议你试试无所不能的CHAT-GPT,快点击我
                    

                
                
                    

                        强烈建议你试试无所不能的CHAT-GPT,快点击我