1、配置BGP MD5认证
[Huawei-bgp]peer 1.1.1.1 password ?
cipher Password with encrypted text
simple Password with simple text
[Huawei-bgp]peer 1.1.1.1 password cipher ?
STRING<1-255>/<20-392> Plain text/Encrypted text
BGP使用TCP作为传输协议,只要TCP数据包的源地址、目的地址、源端口、目的端口和TCP序号是正确的,BGP就会认为这个数据包有效,但数据包的大部分参数对于攻击者来说是不难获得的。
为了保证BGP协议免受攻击,可以在BGP邻居之间使用MD5认证或者Keychain认证来降低被攻击的可能性。其中MD5算法配置简单,配置后生成单一密码,需要人为干预才可以更换密码。
在配置MD5认证密码时,如果使用simple选项,密码将以明文形式保存在配置文件中,存在安全隐患。建议使用cipher选项,将密码加密保存。MD5认证存在安全风险。
为防止BGP对等体所设置的MD5密码被破解,需要周期性的更新MD5认证密码。
BGP MD5认证与BGP Keychain认证互斥。
2、配置BGP Keychain认证
[Huawei-bgp]peer 1.1.1.1 keychain ?
STRING<1-47> Keychain name
为了保证BGP协议免受攻击,可以在BGP邻居之间使用MD5认证或者Keychain认证来降低被攻击的可能性。其中Keychain具有一组密码,可以根据配置自动切换,但是配置过程较为复杂,适用于对安全性能要求比较高的网络。
配置BGP Keychain认证前,必须配置keychain-name对应的Keychain认证,否则TCP连接不能正常建立。
BGP对等体两端必须都配置针对使用TCP连接的应用程序的Keychain认证,且配置的Keychain必须使用相同的加密算法和密码,才能正常建立TCP连接,交互BGP消息。Keychain认证推荐使用SHA256和HMAC-SHA256加密算法。
3、配置BGP GTSM功能
3.1、使能BGP GTSM功能 (BGP两端同时使能)
[Huawei-bgp]peer 1.1.1.1 valid-ttl-hops ?
INTEGER<1-255> Valid GTSM TTL hops value # TTL跳数值
3.2、设置未匹配GTSM策略的报文的缺省动作
[Huawei]gtsm default-action ?
drop Default action is drop # 未匹配GTSM策略的报文不能通过过滤,将被丢弃
pass Default action is pass # 未匹配GTSM策略的报文通过过滤
3.3、使能丢弃报文的GTSM日志功能
[Huawei]gtsm log drop-packet all
GTSM和peer ebgp-max-hop功能均与BGP报文的TTL值相关,只能对同一对等体或对等体组使能两种功能中的一种。
为防止攻击者模拟真实的BGP协议报文对设备进行攻击,可以配置GTSM功能检测IP报文头中的TTL值。根据实际组网的需要,对于不符合TTL值范围的报文,GTSM可以设置为通过或丢弃。
当配置GTSM缺省动作为丢弃时,可以根据网络拓扑选择合适的TTL有效范围,不符合TTL值范围的报文会被接口板直接丢弃,这样就避免了网络攻击者模拟的“合法”BGP报文攻击设备。
閱讀更多 生命的凱歌256124851 的文章
