Sərhəd qapısı protokolunun təmin edilməsi üsulları (BGP)



Sərhəd Gateway Protokolu, çoxsaylı daxili şəbəkələri möhkəmləndirərkən və ya birbaşa daxili şəbəkələrə inteqrasiya edərkən və ya onun səmərəliliyinin və ölçeklenebilirliğinin olması səbəbiylə internet üzərindəki interdomain marşrutlaşdırmaq üçün istifadə edilir. Protokolların hücumlardan qorunması BGP ilə birləşən şəbəkələrin ölçüsü və əhəmiyyəti sayəsində həmişə yaxşı bir fikirdir. Bir çox müxtəlif platformalarda BGP təmin etmək üçün bir çox yolu var. İnternetdə Cisco routerlərin populyarlığı səbəbindən hər hansı bir konfiqurasiya nümunəsi üçün onların komanda xəttindən istifadə edəcəyəm.


Port filtrasiyası



BGP həmyaşıdları TCP portu 179 üzərindən ünsiyyət qurduqları üçün həmin port üzərindəki ünsiyyətləri yalnız həmin ünvanda yerləşən ünsürlər üzərində etibarlı peer ünvanlarına süzgə üçün yaxşı bir fikirdir. Filtrləmə bir firewall və ya perimetri yönlendiricisində edilə bilər.

Akranları doğrulamaq

BGP ilə təhlükəsizlik ən əsas formalarından biri peer identifikasiyasıdır. Birbaşa şərhinizdə MD5 düyməsini sadəcə konfiqurasiya etmək üçün iki tərəfdaş arasında TCP bağlantısına göndərilən hər seqmentə səbəb ola bilər.

Misal:
router bgp 510
qonşu 132.45.78.3 uzaqdan-320 kimi
qonşu 132.45.78.3 parol SecureMyBGP123


BGP versiyasının çətin kodu



Bu gün BGP'nin ən çox yayılmış versiyası BGP versiyası 4, lakin BGP default olaraq BGP versiyasını həmyaşıdları ilə müzakirə edəcək. Əgər əvvəlcədən razılaşdıracağınız router (lər) iniz 4 versiyasını BGP versiyasını işə salacaqsınızsa, bu seçimi qonşu bir bəyanatla təyin etmək asandır və marşrutlaşdırıcınız hücuma məruz qaldıqda bəzi şəbəkə bərpa müddətini saxlaya bilər.

Misal:
router bgp 510
qonşu 132.45.78.3 uzaqdan-320 kimi
qonşu 132.45.78.3 parol SecureMyBGP123
qonşu 132.45.78.3 versiyası 4


Route filtreleme



İnternet marşrutlaşdırma masalarının ölçüsü ilə BGP danışıq marşrutlaşdırıcılarında marşrut filtrindən istifadə etmək xüsusilə vacibdir. Xarici BGP danışıq marşrutlarından gələn marşrutlar ən vacibdir, lakin daxili BGP şəbəkələrinizə daxil olan marşrutları və həm də gedən marşrutları filtreləmək vacibdir. Bu bir marşrut anomaliyalarının bir şəbəkədən digərinə yayılmasını nəzarət edə bilər. BGP ilə siz həm paylayıcı siyahı, həm də prefiks siyahısından istifadə edə bilərsiniz, həmin həmyaşıd üçün deyil. CPU-nun istifadə edildiyi qədər yaxşı bir alternativ prefiks siyahı olmasına baxmayaraq, həm də giriş nəzarət siyahıları və ya prefiks siyahısından istifadə edə bilərsiniz. Bu nümunədə biz yalnız / 8-dən çox və / 16-dən çox olan ön-xəttləri olan marşrutlardan başqa bir prefiks siyahısını yaratacağıq və bunu gələn qonşumuza gələn distribution siyahısı kimi tətbiq edəcəyik.

Misal:
router bgp 510
qonşu 132.45.78.3 uzaqdan-320 kimi
qonşu 132.45.78.3 parol SecureMyBGP123
qonşu 132.45.78.3 versiyası 4
qonşu 132.45.78.3 distribution-list netpolicefilter in
!
!
ip prefiks siyahısı netpolicefilter seq 10 icazə 0.0.0.0 / 0 ge 8 le 16

Null0 (pit bucket) marşrutları



Əvvəllər biz qonşu bəyanatlar və prefiks siyahıları istifadə edərək marşrut filtrasiya nümunəsini göstərdik, lakin bəzən eyni şey daha az CPU sıx bir proses ilə həyata keçirilə bilər. Null0 marşrutları marşruta uyğun olan hər hansı bir trafikini buraxır və marşrutlaşdırma masasında uzun (daha dəqiq) bir oyuna malik deyil, dərhal çuxur kovasına daxil olur. Bu prosesə "Qara Hole Filtrelemesi" deyilir. Aşağıdakı nümunə, 131.50.24.0 / 24 şəbəkəsi üçün nəzərdə tutulmuş hər hansı bir trafikin marşrutlaşdırma masasında daha uzun bir uyğunlaşma olmadığı təqdirdə birbaşa çuxur kovasına göndərildiyini təmin edə bilər.

Misal:
router bgp 510
qonşu 132.45.78.3 uzaqdan-320 kimi
qonşu 132.45.78.3 parol SecureMyBGP123
qonşu 132.45.78.3 versiyası 4
qonşu 132.45.78.3 distribution-list netpolicefilter in
!
!
ip prefiks siyahısı netpolicefilter seq 10 icazə 0.0.0.0 / 0 ge 8 le 16
!
!
ip marşrutu 131.50.24.0 255.255.255.0 null 0

Qonşu dəyişikliklərə giriş



Bağlantı, donanım və bant genişliyi problemləri BGP həmyaşıdları ilə tez-tez aşağı / aşağı şərtlərə səbəb ola bilər, baxmayaraq şəbəkədə bir DoS hücumunun əlaməti ola bilər. BGP qonşu router statusunda dəyişikliklər, router-da logging quraşdırma düzgün olduğunda sadə bir qonşu komanda ilə daxil edilə bilər. Onun zaman damgasını qeyd etmək və onları tez-tez yoxlamaq üçün hər zaman yaxşı bir fikirdir.

Misal:
router bgp 510
qonşu 132.45.78.3 uzaqdan-320 kimi
qonşu 132.45.78.3 parol SecureMyBGP123
qonşu 132.45.78.3 versiyası 4
qonşu 132.45.78.3 distribution-list netpolicefilter in
qonşu 132.45.78.3 log-qonşu dəyişikliklər
!
!
ip prefiks siyahısı netpolicefilter seq 10 icazə 0.0.0.0 / 0 ge 8 le 16
!
!
ip marşrutu 131.50.24.0 255.255.255.0 null 0