Méthodes de sécurisation (BGP) Border Gateway Protocol



Le protocole de passerelle frontière est généralement utilisé pour l'acheminement d'un très grand réseau intérieur, la liaison de plusieurs réseaux intérieurs ou pour le routage interdomaine sur Internet en raison de sa robustesse et de son évolutivité. En raison de la taille et de l'importance des réseaux généralement interconnectés avec BGP, la protection du protocole contre les attaques est toujours une bonne idée. Il existe de nombreuses façons de sécuriser le BGP sur différentes plates-formes. En raison de la popularité des routeurs Cisco sur Internet, j'utiliserai leur ligne de commande pour tous les exemples de configuration.


Filtrage des ports



Étant donné que les homologues BGP communiquent via le port TCP 179, il est toujours judicieux de filtrer les communications via ce port vers vos adresses homologues de confiance uniquement via les interfaces par lesquelles elles vont communiquer. Le filtrage peut être effectué sur un pare-feu ou un routeur de périmètre.

Authentification des pairs

L'authentification entre homologues est l'une des formes de sécurité les plus élémentaires de BGP. Vous pouvez simplement configurer une clé MD5 dans votre instruction voisine, ce qui permet de vérifier chaque segment envoyé sur la connexion TCP entre les deux homologues.

Exemple:
routeur bgp 510
voisin 132.45.78.3 distant-comme 320
mot de passe voisin 132.45.78.3 SecureMyBGP123


Coder en dur la version BGP



La version la plus courante de BGP utilisée aujourd'hui est la version BGP 4. Toutefois, par défaut, BGP négocie la version BGP avec son homologue. Si vous êtes déjà certain que le (s) routeur (s) avec lequel vous aurez un échange de trafic s'appuieront sur la version 4 de BGP, il est facile de définir cette option avec une instruction voisin et d'économiser du temps de récupération du réseau si votre routeur est attaqué.

Exemple:
routeur bgp 510
voisin 132.45.78.3 distant-comme 320
mot de passe voisin 132.45.78.3 SecureMyBGP123
version voisine de 132.45.78.3 4


Filtrage d'itinéraire



Compte tenu de la taille des tables de routage Internet, il est particulièrement important d’utiliser le filtrage d’itinéraire sur les routeurs BGP. Les itinéraires entrants sur les routeurs parlant BGP externes sont les plus importants, mais il peut également être important de filtrer les itinéraires entrants sur vos réseaux BGP internes ainsi que les itinéraires sortants des deux. Cela permet de contrôler la propagation d'éventuelles anomalies de routage d'un réseau à un autre. Avec BGP, vous pouvez utiliser à la fois la liste de distribution ou la liste de préfixes dans votre déclaration de voisin, mais pas les deux pour le même homologue. Vous pouvez également utiliser à la fois les listes de contrôle d'accès et les listes de préfixes, bien que la meilleure alternative en termes d'utilisation du processeur soit la liste de préfixes. Dans cet exemple, nous allons créer une liste de préfixes qui ne comprend que les routes avec un préfixe supérieur à / 8 et inférieur à / 16, puis nous l'appliquerons à notre voisin en tant que liste de distribution entrante.

Exemple:
routeur bgp 510
voisin 132.45.78.3 distant-comme 320
mot de passe voisin 132.45.78.3 SecureMyBGP123
version voisine de 132.45.78.3 4
netpolicefilter 132.45.78.3 de la liste de distribution voisine
!
!
liste de préfixes ip netpolicefilter seq 10 permis 0.0.0.0 / 0 vers 8 le 16

Itinéraires Null0 (seau de puits)



Auparavant, nous avions montré un exemple de filtrage de route à l'aide d'instructions de voisin et de listes de préfixes, mais il est parfois possible d'accomplir la même chose avec un processus moins gourmand en ressources processeur. Les routes Null0 abandonneront tout trafic correspondant à la route et ne présentant pas de correspondance plus longue (plus spécifique) dans la table de routage dans le compartiment des stands immédiatement. Ce processus s'appelle "Filtrage des trous noirs". L'exemple ci-dessous permet de s'assurer que tout le trafic destiné au réseau 131.50.24.0 / 24 est envoyé directement au compartiment des stands, à moins qu'une correspondance plus longue ne soit trouvée dans la table de routage.

Exemple:
routeur bgp 510
voisin 132.45.78.3 distant-comme 320
mot de passe voisin 132.45.78.3 SecureMyBGP123
version voisine de 132.45.78.3 4
netpolicefilter 132.45.78.3 de la liste de distribution voisine
!
!
liste de préfixes ip netpolicefilter seq 10 permis 0.0.0.0 / 0 vers 8 le 16
!
!
route ip 131.50.24.0 255.255.255.0 null 0

Enregistrement des modifications du voisin



Bien que des problèmes tels que la connexion, le matériel et les problèmes de bande passante puissent causer de fréquentes conditions de montée / descente avec un homologue BGP, cela peut également être le signe d'une attaque par déni de service sur le réseau. Les changements d'état du routeur voisin BGP peuvent être consignés avec une simple commande de voisin si la configuration de la journalisation est correctement configurée sur votre routeur. C'est toujours une bonne idée de timestamper les journaux et de les vérifier fréquemment.

Exemple:
routeur bgp 510
voisin 132.45.78.3 distant-comme 320
mot de passe voisin 132.45.78.3 SecureMyBGP123
version voisine de 132.45.78.3 4
netpolicefilter 132.45.78.3 de la liste de distribution voisine
voisins 132.45.78.3 log-neighbour-changes
!
!
liste de préfixes ip netpolicefilter seq 10 permis 0.0.0.0 / 0 vers 8 le 16
!
!
route ip 131.50.24.0 255.255.255.0 null 0