配置BGP4+安全性
为提高BGP4+的安全性,可以在BGP网络中配置BGP4+认证与GTSM功能。
应用环境
通过配置BGP4+对等体的连接认证和配置BGP4+ GTSM,可以提高BGP4+网络的安全性。
MD5认证
BGP4+使用TCP作为传输协议,只要TCP数据包的源地址、目的地址、源端口、目的端口和TCP序号是正确的,BGP4+就会认为这个数据包有效,但数据包的大部分参数对于攻击者来说是不难获得的。为了保证BGP4+协议免受攻击,BGP4+邻居之间使用TCP的MD5认证来降低被攻击的可能性。
为防止BGP4+对等体所设置的MD5密码被破解,需要周期性的更新MD5认证密码。
Keychain认证
Keychain由多个认证密钥组成,每个密钥包含一个ID和密码。密钥存在生命期,通过密钥的生命期可以在Keychain中滚动选择不同的认证密钥。BGP4+会话两端绑定相同规则的Keychain后,Keychain可以滚动选择认证密钥来增强BGP4+防攻击性。
BGP4+ GTSM特性
配置GTSM功能,通过检测IP报文头中的TTL值是否在一个预先定义好的特定范围内来对路由器进行保护,增强系统的安全性。
BGP4+ RPKI特性
配置RPKI(Resource Public Key Infrastructure)功能,通过验证BGP4+路由起源是否正确来保证BGP4+的安全性。
因为GTSM只支持单播地址,因此需要在路由协议作用范围内的所有路由器上部署GTSM。
配置BGP4+认证
为提高BGP4+的安全性,可以在BGP网络中配置BGP4+认证功能。
应用环境
MD5认证
BGP使用TCP作为传输协议,只要TCP数据包的源地址、目的地址、源端口、目的端口和TCP序号是正确的,BGP就会认为这个数据包有效,但数据包的大部分参数对于攻击者来说是不难获得的。为了保证BGP协议免受攻击,BGP邻居之间使用TCP的MD5认证来降低被攻击的可能性。
为防止BGP对等体所设置的MD5密码被破解,需要周期性的更新MD5认证密码。
Keychain认证
Keychain由多个认证密钥组成,每个密钥包含一个ID和密码。密钥存在生命期,通过密钥的生命期可以在Keychain中滚动选择不同的认证密钥。BGP会话两端绑定相同规则的Keychain后,Keychain可以滚动选择认证密钥来增强BGP防攻击性。
BGP MD5认证与BGP Keychain认证互斥。
配置BGP4+ GTSM功能
配置BGP4+ GTSM功能,必须在对等体两端都进行配置。
应用环境
GTSM机制通过TTL的检测来达到防止攻击的目的。如果攻击者模拟真实的BGP4+协议报文,对一台路由器不断的发送报文。路由器接口板收到这些报文后,发现是发送给本机的报文,则直接上送控制层面的BGP4+协议处理,而不加辨别其“合法性”。这样导致路由器控制层面因为处理这些“合法”报文,系统异常繁忙,CPU占用率高。
配置GTSM功能,通过检测IP报文头中的TTL值是否在一个预先定义好的特定范围内来对路由器进行保护,增强系统的安全性。
因为GTSM只支持单播地址,因此需要在路由协议作用范围内的所有路由器上部署GTSM。