华为BGP路由安全配置教程
首页 > HuaWei > 路由配置   作者:浙江思唯网络  2016年1月28日 12:09 星期四  字号:   评论:0 条
时间:2016-1-28 12:09   评论:0 条 

1、配置BGP MD5认证

[Huawei-bgp]peer 1.1.1.1 password ?

                 cipher  Password with encrypted text

                 simple  Password with simple text

 

[Huawei-bgp]peer 1.1.1.1 password cipher ?

                 STRING<1-255>/<20-392>  Plain text/Encrypted text

 

BGP使用TCP作为传输协议,只要TCP数据包的源地址、目的地址、源端口、目的端口和TCP序号是正确的,BGP就会认为这个数据包有效,但数据包的大部分参数对于攻击者来说是不难获得的。

为了保证BGP协议免受攻击,可以在BGP邻居之间使用MD5认证或者Keychain认证来降低被攻击的可能性。其中MD5算法配置简单,配置后生成单一密码,需要人为干预才可以更换密码。

在配置MD5认证密码时,如果使用simple选项,密码将以明文形式保存在配置文件中,存在安全隐患。建议使用cipher选项,将密码加密保存。MD5认证存在安全风险。

为防止BGP对等体所设置的MD5密码被破解,需要周期性的更新MD5认证密码。

BGP MD5认证与BGP Keychain认证互斥。

 

2、配置BGP Keychain认证

[Huawei-bgp]peer 1.1.1.1 keychain ?

                  STRING<1-47>  Keychain name

 

为了保证BGP协议免受攻击,可以在BGP邻居之间使用MD5认证或者Keychain认证来降低被攻击的可能性。其中Keychain具有一组密码,可以根据配置自动切换,但是配置过程较为复杂,适用于对安全性能要求比较高的网络。

配置BGP Keychain认证前,必须配置keychain-name对应的Keychain认证,否则TCP连接不能正常建立。

BGP对等体两端必须都配置针对使用TCP连接的应用程序的Keychain认证,且配置的Keychain必须使用相同的加密算法和密码,才能正常建立TCP连接,交互BGP消息。Keychain认证推荐使用SHA256HMAC-SHA256加密算法。

 

3、配置BGP GTSM功能

3.1、使能BGP GTSM功能 (BGP两端同时使能)

[Huawei-bgp]peer 1.1.1.1 valid-ttl-hops ?

  INTEGER<1-255>  Valid GTSM TTL hops value # TTL跳数值

                       <cr>            Please press ENTER to execute command

 

3.2、设置未匹配GTSM策略的报文的缺省动作

[Huawei]gtsm default-action ?

  drop  Default action is drop  # 未匹配GTSM策略的报文不能通过过滤,将被丢弃

                     pass  Default action is pass  # 未匹配GTSM策略的报文通过过滤

 

3.3、使能丢弃报文的GTSM日志功能

[Huawei]gtsm log drop-packet all

 

GTSMpeer ebgp-max-hop功能均与BGP报文的TTL值相关,只能对同一对等体或对等体组使能两种功能中的一种。

为防止攻击者模拟真实的BGP协议报文对设备进行攻击,可以配置GTSM功能检测IP报文头中的TTL值。根据实际组网的需要,对于不符合TTL值范围的报文,GTSM可以设置为通过或丢弃。

当配置GTSM缺省动作为丢弃时,可以根据网络拓扑选择合适的TTL有效范围,不符合TTL值范围的报文会被接口板直接丢弃,这样就避免了网络攻击者模拟的“合法”BGP报文攻击设备。

 

 您阅读这篇文章共花了: 
二维码加载中...
技术交流:欢迎在本文下方留言或加入QQ群:647682417 互相学习。     
本文地址:http://www.023wg.com/lypz/151.html
版权声明:若无注明,本文皆为“思唯网络教育博客”原创,转载请保留文章出处。
返回顶部    首页   
版权所有:思唯网络教育博客    浙江思唯网络