BGP拓展特性_安全特性

访客4年前黑客工具1184

BGP安全特性

MD5认证

Keychain认证

GT ***

限制从对等体接受的路由数量

AS_Path长度保护

RPKI

MD5认证

为BGP的所有类型报文的数据进行MD5加密,也可以对用来建立邻居关系的TCP三次握手报文进行加密

通信双方都要配置

配置

peer {group-name | peer-address} password {cipher | simple} password

group-name 对等体的名称

peer-address 对等体的IP地址

两端都配置完后,在发送的过程中,统统进行MD5加密,且在包头中添加了MD5 Signature字段

Keychain认证

若只使用MD5认证将面临诸多问题:MD5抗碰撞性弱,目前已经不安全、若一个完整的通信过程中只使用一个密钥,那么一旦这个密钥被窃/破解,整个通信过程中的信息都会变得不安全

Keychain认证模式

Keychain可以在不中断业务的情况下,切换使用不同的密钥与加密方式,来证通信的安全

原理

Keychain类似于一个密钥串,其允许用户定义一组密钥,形成一个密钥串,同时每个密钥可以使用不同的加密算法。通过对密钥串中每个密钥生效时间段的规定,来确保在不中断业务的情况下,自动切换密钥与加密算法

key-id

其密钥串中每一个密钥+加密算法+生效时间(通过设置不同key-id的接收与发送时间来实现动态变更认证信息)对应一个key-id

生命周期

若keychain中每个key的生命周期(生效时间)具有连续性,那么随着时间推移,各个key依次生效,实现切换在一次通信过程中切换不同密钥与加密算法从而保证即使有一个密钥泄露依旧可以保证后续路由信息等安全目的

接收容忍时间

当一端key-id发生改变(切换)时,理论上对端也应该立刻改变,但由于时间不同步的原因,对端使用的key-id可能未立刻发生改变,会有时延。所以对于接收方,需要设置一个过渡时间,当key-id变化时一段时间不传输报文(防止因双方key-id不同导致丢包的现象),这个时间段就成为接受容忍时间

注意

1:使用keychain两端的加密算法与密钥必须相同

2:同一个keychain内的各个key的生效时间段(生命周期)不可重叠(即同一时间段不能对应多个key-id),确保在同一时刻,只使用一个key对发送的报文进行校验。

GT *** ——Generalized TTL Security Mechani ***

为了防止恶意用户接入BGP网,并发送大量合法报文消耗路由器CPU资源而导致过载等严重的问题,启用GT *** 技术(通用TTL安全机制)

GT *** 通过限制报文IP包头中的TTL值来避免类似于拒绝服务类型的攻击

GT *** 具体防御手段

管理者通过配置TTL的范围来限制到达路由器数据包经历的跳数(TTL更大为255,每经一个路由器减1),从而防止恶意用户向BGP核心网中发送大量合法报文消耗路由器资源。

对于直连的EBGP邻居

不同AS间传递时默认将TTL值设为1,应用GT *** 后其默认值变为255(因为TTL值更大为255),这样EBGP发送端会将其TTL置为255后发给EBGP接收端,接收端只有在检测到TTL值为255的情况下,才会接收该报文(若攻击者连在了EBGP发送端路由器上,向EBGP接收端路由器发送大量合法的BGP报文,由于报文要经过发送端路由器才可以到达接收端路由器,所以TTL值更高也只能是254,不满足255,被丢弃)

对于存在多跳的IBGP邻居/特殊情况下的EBGP邻居

多跳一般发生于:IBGP邻居间利用环回口配置的EBGP邻居

由于多跳的情况(即路由不止传给一个peer,而是传给多个peer的情况),在IBGP邻居中,一条路由信息通常会传给多个IBGP邻居,这时限制TTL值会影响通信,所以应当限制TTL值的范围(例如249~255)

配置

peer valid-ttl-hops num

num:用于配置hops值的大小

开启GT *** 后,被检测报文限制TTL值的范围为 {255-hops+1,255}

例:peer valid-ttl-hops 1 ——> TTL范围 {255-1+1,255} 也就相当于 255

限制路由数量

peer route-limit 设置允许从对等体收到的路由数量

peer {group-name | ipv4-address | ipv6-address} route-limit limit [ percentage ] [ alert-only | idle-forever | idle-timeout times]

limit:指定对等体允许的更大路由数量。整数形式,取值范围 1~2000000(200w)

percantage:指定路由器开始生成警告消息时的路由数量百分比。缺省值为75(1~100)

alert-only:对路由超限仅限于产生警告,不再接收超限后的路由

idle-forever:路由超限断连,且不自动重新建立连接直到 reset bgp

idle-timeouttimes:路由超限断连后,自动重新建立连接的超时定时器。整数形式,取值范围1~1200,单位:分钟。在定时器超时前,可执行 reset bgp重新建立连接

不配置以上参数时,路由超限产生警告并记入日志,断开邻居,30s后自动重新连接建立邻居关系

AS_Path长度保护

as-path-limit 命令用来自设置AS_Path属性中AS号的更大个数

缺省情况下,AS_Path属性中AS号的更大限制值是2000

as-path-limit [ as-path-limit-num ]

配置as-path-limit命令后,接收路由时会检查AS_Path属性中的AS号是否超限。如果超限则丢弃路由。

PRKI——Resource Public Key Infrastructure

资源公共密钥基础架构(Resource Public Key Infrastructure,RPKI)将IP地址与其拥有者的公钥绑定在一起。RPKI实现了路由器的源路由验证(Route Origin Validation,ROV),以阻止例如IP前缀注入之类的严重攻击

RPKI主要用来解决路由传递过程中攻击者通过发布更精确的路由导致数据传输过程中 流量被窃取的问题

原理

ROA

RPKI存储着源路由授权(Route Origin Authorization,ROA):将IP地址块与允许在BGP中宣告它的AS绑定签名的记录。

验证过程

ROA(一般将保存在RPKI服务器中,在需要认证时同步到本地进行验证)可以被BGP路由器用于源路由验证(Route Origin Validation,ROV):验证并丢弃来自未授权AS的“无效的”BGP路由宣告。

关于BGP IP前缀类的攻击最常见的为 BGP hijack,具体攻击方式将会在下一次介绍

相关文章

美国留学生活费需要多少(美国留学一个月要多

美国留学生活费需要多少(美国留学一个月要多

图片源于网络 饮食 考虑到便捷性,如果在学校食堂就餐的话,一顿午餐价格通常在10美元以内,还可以自己动手做几个家常菜解解馋。 例如期末,学业特别繁忙的时候,可以去快餐店,通常在麦当劳店吃一顿...

ai怎么快速设计圆点缩放旋转背景效果,Ai圆点旋转图案的方法

在ai中怎么快速设计方案小圆圈放缩转动情况实际效果呢?下边就为大伙儿共享Ai小圆圈转动图案设计的方式实例教程,有必须的能够来掌握掌握哦。       在ai中怎么快速设计方案小圆圈放缩转动情况实际效果...

大学生自主创业存在哪些问题 我们一起来看看!

现如今,毕业生就业工作压力日益不容乐观,随着着政府政策正确引导社会发展意识的变化,大学毕业生的自主创业观念、就业方向也悄悄地更改。对学生开展自己创业问卷调查统计调查,掌握学生的自主创业状况,剖析自主创...

chrome怎么截图网页全部内容 chrome浏览器如何截屏全部内容

虽然电脑中系统自带有截图功能,但是每次在使用的时候都需要用户调出来,很是麻烦,因此对于一些使用chrome浏览器的用户来说,想要截图网页中的全部内容时,就可以使用chrome浏览器的截图功能,那么...

九尾狐传抄袭结爱是怎么回事 两者有哪些剧情相似

有网民曝料韩国电视剧《九尾狐传》中很多设置都和郑秀晶、黄景瑜出演的《结爱·千岁大人的初恋》很像,提出质疑这一部剧剽窃,但是故事情节還是有非常大不一样的,也让结爱的粉絲忍不上,二者有什么故事情节类似?下...

做账会计主要做什么(会计做账流程的七个步骤)

  财务在别人眼中一直是高端岗位,固定时间上下班,朝九晚五年终还有奖金拿,说是铁饭碗也不为过,而且工作轻松,实际上真的是这样吗?所谓外行看热闹,很多不为人知的事情只有内行人才了解。   财务是是指财务...