配置BGP4+安全性
为提高BGP4+的安全性,可以在BGP网络中配置BGP4+认证与GTSM功能。
应用环境
通过配置BGP4+对等体的连接认证和配置BGP4+ GTSM,可以提高BGP4+网络的安全性。
MD5认证
BGP4+使用TCP作为传输协议,只要TCP数据包的源地址、目的地址、源端口、目的端口和TCP序号是正确的,BGP4+就会认为这个数据包有效,但数据包的大部分参数对于攻击者来说是不难获得的。为了保证BGP4+协议免受攻击,BGP4+邻居之间使用TCP的MD5认证来降低被攻击的可能性。
为防止BGP4+对等体所设置的MD5密码被破解,需要周期性的更新MD5认证密码。
Keychain认证
Keychain由多个认证密钥组成,每个密钥包含一个ID和密码。密钥存在生命期,通过密钥的生命期可以在Keychain中滚动选择不同的认证密钥。BGP4+会话两端绑定相同规则的Keychain后,Keychain可以滚动选择认证密钥来增强BGP4+防攻击性。
BGP4+ GTSM特性
配置GTSM功能,通过检测IP报文头中的TTL值是否在一个预先定义好的特定范围内来对路由器进行保护,增强系统的安全性。
BGP4+ RPKI特性
配置RPKI(Resource Public Key Infrastructure)功能,通过验证BGP4+路由起源是否正确来保证BGP4+的安全性。
因为GTSM只支持单播地址,因此需要在路由协议作用范围内的所有路由器上部署GTSM。
配置BGP4+认证
为提高BGP4+的安全性,可以在BGP网络中配置BGP4+认证功能。
应用环境
MD5认证
BGP使用TCP作为传输协议,只要TCP数据包的源地址、目的地址、源端口、目的端口和TCP序号是正确的,BGP就会认为这个数据包有效,但数据包的大部分参数对于攻击者来说是不难获得的。为了保证BGP协议免受攻击,BGP邻居之间使用TCP的MD5认证来降低被攻击的可能性。
为防止BGP对等体所设置的MD5密码被破解,需要周期性的更新MD5认证密码。
Keychain认证
Keychain由多个认证密钥组成,每个密钥包含一个ID和密码。密钥存在生命期,通过密钥的生命期可以在Keychain中滚动选择不同的认证密钥。BGP会话两端绑定相同规则的Keychain后,Keychain可以滚动选择认证密钥来增强BGP防攻击性。
BGP MD5认证与BGP Keychain认证互斥。
操作步骤
- 配置MD5认证
- 执行命令peer { group-name | ipv6–address } password { cipher | simple } password,配置MD5认证密码。
BGP4+的MD5认证只是为TCP连接设置MD5认证密码,由TCP完成认证。如果认证失败,则不能建立TCP连接。
在用户设置密码时可以选择两种输入方式:
配置cipher cipher-password参数表示输入密文字符串设置密码。
配置simple simple-password参数表示输入明文字符串设置密码。
密码需要符合密码复杂度规则:大写、小写、数字、特殊字符中至少有2种,并且长度不能小于8。
为避免高安全风险,配置时请尽量选择密文模式。为保证设备安全,请定期修改密码。
- 执行命令peer { group-name | ipv6–address } password { cipher | simple } password,配置MD5认证密码。
- 配置Keychain认证
配置BGP4+ GTSM功能
配置BGP4+ GTSM功能,必须在对等体两端都进行配置。
应用环境
GTSM机制通过TTL的检测来达到防止攻击的目的。如果攻击者模拟真实的BGP4+协议报文,对一台路由器不断的发送报文。路由器接口板收到这些报文后,发现是发送给本机的报文,则直接上送控制层面的BGP4+协议处理,而不加辨别其“合法性”。这样导致路由器控制层面因为处理这些“合法”报文,系统异常繁忙,CPU占用率高。
配置GTSM功能,通过检测IP报文头中的TTL值是否在一个预先定义好的特定范围内来对路由器进行保护,增强系统的安全性。
因为GTSM只支持单播地址,因此需要在路由协议作用范围内的所有路由器上部署GTSM。
操作步骤
- 配置BGP4+ GTSM基本功能
- 执行命令peer { group-name | ipv6-address } valid-ttl-hops [ hops ],配置BGP4+ GTSM功能。
被检测报文的TTL值有效范围为[ 255–hops+1, 255 ]。例如,对于EBGP直连路由,hops的取值为1,即有效的TTL值设为255。
- 当在BGP视图下配置时,对MP-BGP的VPNv4扩展同样有效,因为它们使用同一个TCP连接。
- GTSM和EBGP-MAX-HOP功能均会影响到发送出去的BGP4+报文的TTL值,存在冲突,只能对同一对等体或对等体组使能两种功能中的一种。
使能BGP4+的GTSM策略后,接口板对所有BGP4+报文的TTL值进行检查,根据实际组网的需要,对于不符合GTSM策略中指定的TTL值范围的报文,直接丢弃。对于没有配置GTSM策略的报文,如果BGP4+ Peer配置存在,直接上送。没有配置BGP4+ Peer的BGP4+报文直接丢弃。这样就避免了网络攻击者模拟的“合法”BGP4+报文占用CPU。
- 执行命令peer { group-name | ipv6-address } valid-ttl-hops [ hops ],配置BGP4+ GTSM功能。
- 设置未匹配GTSM策略的报文的缺省动作
GTSM只会对匹配GTSM策略的报文进行TTL检查。对于未匹配策略的报文,可以设置为通过或丢弃。如果配置GTSM缺省报文动作为丢弃,就需要在GTSM中配置所有允许发送报文的对等体的TTL值,没有配置TTL值的对等体发送的报文将被丢弃,无法建立连接。
对于丢弃的报文,可以通过LOG信息开关,控制是否对报文被丢弃的情况记录日志,以方便故障的定位。
请在配置了GTSM功能的路由器上进行以下配置。
- 执行命令gtsm default-action { drop | pass },设置未匹配GTSM策略的报文的缺省动作。
如果仅仅配置了缺省动作,但没有配置GTSM策略时,GTSM不生效。
该命令仅在Admin-VS支持,无法在其它VS中配置,功能对所有VS生效。
- 执行命令gtsm default-action { drop | pass },设置未匹配GTSM策略的报文的缺省动作。
配置RPKI
通过配置RPKI(Resource Public Key Infrastructure),可以对BGP4+路由起源是否正确进行验证,保证BGP4+的安全性。
应用环境
RPKI主要应用在存在RPKI服务器,需要对BGP4+路由起源是否正确进行验证的组网中。通过验证从邻居收到的BGP4+路由是否合法来控制选路结果,从而确保域内的主机能够安全地访问外部服务。
需要在客户端配置RPKI会话的基本信息并且使能BGP4+路由起源AS验证结果影响BGP4+选路,才能完成整个客户端RPKI的配置。
操作步骤
- 在客户端启动RPKI并配置RPKI会话的相关参数:
- 执行命令commit,提交配置。
当RPKI会话的配置发生变化后,如果需要使新的配置立即生效,可以执行reset rpki session命令复位指定的RPKI连接。
- 执行命令commit,提交配置。
- 通过BGP4+路由起源AS验证结果影响BGP4+选路:
- 执行命令prefix origin-validation
enable,使能RPKI的起源AS验证功能。
使能起源AS验证功能后,设备通过将路由的起源AS和数据库中记录的匹配的路由的起源AS数据进行对比,并给出验证结果:Valid(起源AS正确)、NotFound(无结果)或Invalid(起源AS错误)。
可通过display rpki table命令查看路由起源的相关数据(ROA)。其中包括路由的起源AS。
- 执行命令prefix origin-validation
enable,使能RPKI的起源AS验证功能。
