BGP (Border Gateway Protocol) bermatzeko metodoak



Border Gateway Protokoloa, oro har, barneko sarea oso handia bideratzen denean erabiltzen da barneko sareak anitz lotzen dituena edo interdomainen bideraketa Interneten bidez bere sendotasuna eta eskalagarritasuna direla eta. BGPrekin lotura duten sareak izaten diren tamaina eta garrantzia dela eta protokoloa erasoetatik babestea, ideia ona da beti. Hainbat modu daude BGP bermatzeko hainbat plataformetan. Interneten Cisco bideratzaileek izandako arrakasta dela eta, komando-lerroa erabiliko dut konfigurazio adibideetarako.


Portu iragazketa



BGP parekoek TCP ataka bidez komunikatzen dute 179 beti ideia ona ataka horren bidezko komunikazioak iragazteko zure pareko helbide fidagarrien artean soilik komunikatzen ari diren interfazeak baino. Iragazketa firewall edo perimetro router batean egin daiteke.

Autentifikazioa parekoak

BGP-rekin segurtasunaren oinarrizko moduetako bat peer autentifikazioa da. MD5 gakoa konfigura dezakezu zure auzoko instrukzioan TCP konexioan bidalitako segmentu bakoitza egiaztatuko duena.

Adibidea:
bideratzailea bgp 510
132.45.78.3 bizilaguna 320 bezalako urrunekoa
bizilaguna 132.45.78.3 pasahitza SecureMyBGP123


Kode gogorra BGP bertsioa



Gaur egun BGPren bertsio ohikoena BGP 4 bertsioa da. BGPk BGP bertsioa negoziatu beharko du bere parekoarekin. Bai berrikusitako bideratzaileak BGP bertsioa 4 exekutatzen ari zarela ziur bazaude, erraza da aukera hau ezartzea bizilagunen aitorpenarekin eta sare berreskuratzeko denbora aurreztu dezake zure bideratzaileak eraso egin badu.

Adibidea:
bideratzailea bgp 510
132.45.78.3 bizilaguna 320 bezalako urrunekoa
bizilaguna 132.45.78.3 pasahitza SecureMyBGP123
bizilaguna 132.45.78.3 4 bertsioa


Ibilbidearen iragazketa



Interneten bideratze taulen tamainarekin bereziki garrantzitsua da BGP hitz-bideratzaileetan ibilbideen iragazketa erabiltzea. Kanpoko BGP hizkuntzen bideratzaileetan sarrerako ibilbideak garrantzitsuenak dira, baina garrantzitsua da zure BGP sarearen barneko ibilbideak iragaztea eta bai irteerako bideak ere bai. Honek sare batetik bestera bideratutako edozein anomaliak hedatzea kontrolatzen du. BGP-rekin banaketa zerrenda edo prefix-zerrenda erabil dezakezu zure auzoko instrukzioan, baina ez biak pareko berdina izateko. Sarbide-kontrolen zerrendak edo aurrizki zerrendak ere erabil ditzakezu, baina PUZaren erabilerari dagokionez alternatiba hobeak aurrizki-zerrenda izango litzateke. Adibide honetan aurrizki bat baino gehiago / 8 baino / 16 baino gutxiago duten ibilbideak soilik sortuko ditugu eta gero aplikatuko zaio gure hurkoari sarrerako banaketa-zerrenda gisa.

Adibidea:
bideratzailea bgp 510
132.45.78.3 bizilaguna 320 bezalako urrunekoa
bizilaguna 132.45.78.3 pasahitza SecureMyBGP123
bizilaguna 132.45.78.3 4 bertsioa
bizilaguna 132.45.78.3-ek netpolicefilter zerrenda banatzen du
!
!
ip prefix-list netpolicefilter seq 10 baimena 0.0.0.0 / 0 ge 8 le 16

Null0 (zuloa) ibilbideak



Aurretik, ibilbidearen iragazketa adibide bat erakutsi genuen bizilagunen adierazpenak eta aurrizki zerrendak erabiliz, baina batzuetan gauza bera egin daiteke PUZaren prozesu trinko gutxiagoarekin. Null0 ibilbideek ibilbidearekin bat egiten duten edozein trafiko utziko dute eta berehalakoan ez da bideratze taularen parekatze luzeagoa izango. Prozesu hau "Black Hole Filtering" deritzo. Beheko adibidean 131.50.24.0 / 24 sarera zuzendutako trafiko guztiak zuzenean zuloan ontzira bidaliko liratekeela ziurtatuko luke, bideratze taulan partida luzeagoa aurkitzen ez bada.

Adibidea:
bideratzailea bgp 510
132.45.78.3 bizilaguna 320 bezalako urrunekoa
bizilaguna 132.45.78.3 pasahitza SecureMyBGP123
bizilaguna 132.45.78.3 4 bertsioa
bizilaguna 132.45.78.3-ek netpolicefilter zerrenda banatzen du
!
!
ip prefix-list netpolicefilter seq 10 baimena 0.0.0.0 / 0 ge 8 le 16
!
!
ip ibilbidea 131.50.24.0 255.255.255.0 null 0

Bizilagunak aldatzen hastea



Konexioa, hardwarea eta banda-zabaleraren arazoak bezalako gauzak maiz gora / behera eragin ditzaketen BGP pareko batekin, halaber, sareko DoS eraso baten seinale izan daiteke. BGPren inguruko bideratzailearen egoeraren aldaketak erkidego sinple batekin lotu daitezke, zure bideratzailea ondo konfiguratzen baduzu. Egokiena denbora-marken erregistroen ideia ona da eta maiz egiaztatu.

Adibidea:
bideratzailea bgp 510
132.45.78.3 bizilaguna 320 bezalako urrunekoa
bizilaguna 132.45.78.3 pasahitza SecureMyBGP123
bizilaguna 132.45.78.3 4 bertsioa
bizilaguna 132.45.78.3-ek netpolicefilter zerrenda banatzen du
bizilaguna 132.45.78.3 log-neighbor-changes-changes
!
!
ip prefix-list netpolicefilter seq 10 baimena 0.0.0.0 / 0 ge 8 le 16
!
!
ip ibilbidea 131.50.24.0 255.255.255.0 null 0