1、配置BGP MD5認證
[Huawei-bgp]peer 1.1.1.1 password ?
cipher Password with encrypted text
simple Password with simple text
[Huawei-bgp]peer 1.1.1.1 password cipher ?
STRING<1-255>/<20-392> Plain text/Encrypted text
BGP使用TCP作為傳輸協議,只要TCP數據包的源地址、目的地址、源端口、目的端口和TCP序號是正確的,BGP就會認為這個數據包有效,但數據包的大部分參數對於攻擊者來說是不難獲得的。
為了保證BGP協議免受攻擊,可以在BGP鄰居之間使用MD5認證或者Keychain認證來降低被攻擊的可能性。其中MD5算法配置簡單,配置後生成單一密碼,需要人為干預才可以更換密碼。
在配置MD5認證密碼時,如果使用simple選項,密碼將以明文形式保存在配置文件中,存在安全隱患。建議使用cipher選項,將密碼加密保存。MD5認證存在安全風險。
為防止BGP對等體所設置的MD5密碼被破解,需要週期性的更新MD5認證密碼。
BGP MD5認證與BGP Keychain認證互斥。
2、配置BGP Keychain認證
[Huawei-bgp]peer 1.1.1.1 keychain ?
STRING<1-47> Keychain name
為了保證BGP協議免受攻擊,可以在BGP鄰居之間使用MD5認證或者Keychain認證來降低被攻擊的可能性。其中Keychain具有一組密碼,可以根據配置自動切換,但是配置過程較為複雜,適用於對安全性能要求比較高的網絡。
配置BGP Keychain認證前,必須配置keychain-name對應的Keychain認證,否則TCP連接不能正常建立。
BGP對等體兩端必須都配置針對使用TCP連接的應用程序的Keychain認證,且配置的Keychain必須使用相同的加密算法和密碼,才能正常建立TCP連接,交互BGP消息。Keychain認證推薦使用SHA256和HMAC-SHA256加密算法。
3、配置BGP GTSM功能
3.1、使能BGP GTSM功能 (BGP兩端同時使能)
[Huawei-bgp]peer 1.1.1.1 valid-ttl-hops ?
INTEGER<1-255> Valid GTSM TTL hops value # TTL跳數值
3.2、設置未匹配GTSM策略的報文的缺省動作
[Huawei]gtsm default-action ?
drop Default action is drop # 未匹配GTSM策略的報文不能通過過濾,將被丟棄
pass Default action is pass # 未匹配GTSM策略的報文通過過濾
3.3、使能丟棄報文的GTSM日誌功能
[Huawei]gtsm log drop-packet all
GTSM和peer ebgp-max-hop功能均與BGP報文的TTL值相關,只能對同一對等體或對等體組使能兩種功能中的一種。
為防止攻擊者模擬真實的BGP協議報文對設備進行攻擊,可以配置GTSM功能檢測IP報文頭中的TTL值。根據實際組網的需要,對於不符合TTL值範圍的報文,GTSM可以設置為通過或丟棄。
當配置GTSM缺省動作為丟棄時,可以根據網絡拓撲選擇合適的TTL有效範圍,不符合TTL值範圍的報文會被接口板直接丟棄,這樣就避免了網絡攻擊者模擬的“合法”BGP報文攻擊設備。
閱讀更多 生命的凱歌256124851 的文章
