Linux下加强BGP路由协议

BGP协议运行于TCP之上,因而,它也继承了TCP连接的所有漏洞。例如,在一个BGP会话内,攻击者可以冒充一个合法的BGP邻居,然后说服另一端的BGP路由器共享路由信息给攻击者。在攻击者通告并向邻居路由注入伪造的路由时,就会发生这个问题。毫无戒备的邻居路由器就会开始向攻击者发送通信实况,实际上这些信息并没有去向任何地方,仅仅只是被丢弃了。回到2008年,YouTube实际上也受害于这样的BGP路由中毒,并遭受了长达一个小时的视频服务大量中断。一个更加糟糕的情况是,如果攻击者是个足够懂行的人,他们可以伪装成一台透明路由器,然后嗅探经过的通信以获取敏感数据。你可以想象,这会造成深远的影响。

要保护活跃的BGP会话不受攻击,许多服务提供商在BGP会话中使用MD5校验和及预共享密钥。在受保护的BGP会话中,一台发送包的BGP路由器通过使用预共享的密钥生成MD5散列值、部分IP和TCP头以及有效载荷。然后,MD5散列作为一个TCP选项字段存储。在收到包后,接受路由器用同样的方法使用预共享密钥生成它的MD5版本。它会将它的MD5散列和接收到的某个包的值进行对比,以决定是否接受该包。对于一个攻击者而言,几乎不可能猜测到校验和或其密钥。对于BGP路由器而言,它们能在使用包的内容前确保每个包的合法性。

在本教程中,我们将为大家演示如何使用MD5校验和以及预共享密钥来加固两个邻居间的BGP会话的安全。

准备

加固BGP会话安全是相当简单而直截了当的,我们会使用以下路由器。



常用的Linux内核原生支持IPv4和IPv6的TCP MD5选项。因此,如果你从全新的Linux机器构建了一台Quagga路由器,TCP的MD5功能会自动启用。剩下来的事情,仅仅是配置Quagga以使用它的功能。但是,如果你使用的是FreeBSD机器或者为Quagga构建了一个自定义内核,请确保内核开启了TCP的MD5支持(如,Linux中的CONFIGTCPMD5SIG选项)。

配置Router-A验证功能

我们将使用Quagga的CLI Shell来配置路由器,我们将使用的唯一的一个新命令是‘password’。

代码如下:

[root@router-a ~]# vtysh

router-a# conf t

router-a(config)# router bgp 100

router-a(config-router)# network 192.168.100.0/24

router-a(config-router)# neighbor 10.10.12.2 remote-as 200

router-a(config-router)# neighbor 10.10.12.2 password xmodulo

本例中使用的预共享密钥是‘xmodulo’。很明显,在生产环境中,你需要选择一个更健壮的密钥。

注意: 在Quagga中,‘service password-encryption’命令被用做加密配置文件中所有明文密码(如,登录密码)。然而,当我使用该命令时,我注意到BGP配置中的预共享密钥仍然是明文的。我不确定这是否是Quagga的限制,还是版本自身的问题。

配置Router-B验证功能

我们将以类似的方式配置router-B。

代码如下:

[root@router-b ~]# vtysh

router-b# conf t

router-b(config)# router bgp 200

router-b(config-router)# network 192.168.200.0/24

router-b(config-router)# neighbor 10.10.12.1 remote-as 100

router-b(config-router)# neighbor 10.10.12.1 password xmodulo

验证BGP会话

如果一切配置正确,那么BGP会话就应该起来了,两台路由器应该能交换路由表。这时候,TCP会话中的所有流出包都会携带一个MD5摘要的包内容和一个密钥,而摘要信息会被另一端自动验证。

我们可以像平时一样通过查看BGP的概要来验证活跃的BGP会话。MD5校验和的验证在Quagga内部是透明的,因此,你在BGP级别是无法看到的。



如果你想要测试BGP验证,你可以配置一个邻居路由,设置其密码为空,或者故意使用错误的预共享密钥,然后查看发生了什么。你也可以使用包嗅探器,像tcpdump或者Wireshark等,来分析通过BGP会话的包。例如,带有“-M ”选项的tcpdump将验证TCP选项字段的MD5摘要。

小结

在本教程中,我们演示了怎样简单地加固两台路由间的BGP会话安全。相对于其它协议而言,配置过程非常简明。强烈推荐你加固BGP会话安全,尤其是当你用另一个AS配置BGP会话的时候。预共享密钥也应该安全地保存。

(0)

相关推荐

  • linux下scp远程拷贝包含空格的目录或者文件的解决方法

    今天遇到个白痴问题,用了linux 这么久了,竟然还出现如此低级的错误。 记录下,免得又忘记。 描述: 今天需要远程拷贝一些文件到电脑上,ubuntu的。 远程电脑是debian的。 文件和目录包含大 ...

  • Linux 下用 Python 连接 MSSql Server 2008

    缘起 因为客户要求在应用上部署 mssql server 2008,而我们习惯了开发 Linux 下的服务器程序,所以就有了在 linux 下用 python 连接 mssql server 2008 ...

  • Linux下删除文件之彻底删除文件(shred)

    linux删除目录很简单,很多人还是习惯用rmdir,不过一旦目录非空,就陷入深深的苦恼之中,现在使用rm -rf命令即可。 直接rm就可以了,不过要加两个参数-rf 即:rm -rf 目录名字 删除 ...

  • linux下Samba服务和NFS服务配置的方法

    linux下Samba服务和NFS服务配置 一、Samba服务配置过程 samba的功能很简单,就是为了使linux和windows之间能够实现共享。并且利用samba搭建文件服务器,不仅比windo ...

  • Linux下ftp服务详细配置-vsftp(具体步骤)

    首先要安装linux下的vsftp软件包。 rpm -qa|gerp vsftpd //查找vsftpd有没有安装 如果没有安装就 vsftpd-2.0.1-5.i386.rpm (在第一张光盘) 在 ...

  • Linux下文件名.文件和mp3名字.pdf的乱码问题

    如果是刚刚从windows转到Linux下的,通常都会因为一些中文的问题而放弃,我就是这样装上,卸载搞过好几次,其实这种心态是永远都学不到东西的,真正的学者都具有一颗大无畏的精神,在他们的字典里是找不 ...

  • Linux下手动设置Windows磁盘挂载点

    Linux下手动设置Windows磁盘挂载点 我的笔记本是同时装了Linux系统和Windows系统。Linux系统启动后,Windows磁盘就会自动挂载在/media目录下,而且挂载点的名称又长又难 ...

  • 如何在Linux下自学各类需要的知识

    安装好了Unix/Linux类操作系统,却不知道拿它做点什么、也不知道它能做些什么……这是大多数初这朋友的疑惑。 我认为首先要做的是学会如何在Unix/Linux下获得知识,掌握学习方法。如何真有一天 ...

  • Linux下清除U盘病毒auto之类文件的方法

    在Linux下使用U盘时,每次都看到一个什么auto之类的文件,怀疑是一个病毒。 但输入ls -l命令发现,属性竟然全不是? 结果是删不掉了。 经过多方查询得知原因是linux不能处理以“.”结尾的文 ...