Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Restriction d’accès TCP pour les BGP

Understanding Security Options for BGP with TCP

Parmi les protocoles de routage, BGP’utilisation de TCP comme protocole de transport est unique. BGP pairs sont établis par une configuration manuelle entre équipements de routage pour créer une session TCP sur le port 179. Un BGP connecté envoie périodiquement des messages de keepalive afin de maintenir la connexion.

Au fil du temps, BGP est devenu le protocole de routage interdomaine dominant sur Internet. Toutefois, elle n’a que des garanties limitées en matière de stabilité et de sécurité. La configuration des options de sécurité pour les BGP doit trouver le bon équilibre entre mesures de sécurité et coûts acceptables. Aucune méthode n’a été supérieure aux autres méthodes. Chaque administrateur réseau doit configurer des mesures de sécurité qui répondent aux besoins du réseau utilisé.

Pour des informations détaillées sur les problèmes de sécurité associés à l’utilisation par BGP de TCP comme protocole de transport, consultez la RFC 4272, BGP Security Vulnerabilities Analysis.

Exemple: Configuration d’un filtre pour bloquer l’accès TCP à un port Sauf des pairs BGP spécifiés

Cet exemple montre comment configurer un filtre de pare-feu sans état standard qui bloque toutes les tentatives de connexion TCP pour le port 179 de tous les demandeurs, à l’exception des pairs BGP spécifiés.

Conditions préalables

Aucune configuration particulière au-delà de l’initialisation de l’équipement n’est requise avant de configurer cet exemple.

Présentation

Dans cet exemple, vous créez un filtre de pare-feu sans état qui bloque toutes les tentatives de connexion TCP pour port 179 de tous les demandeurs, à l’exception des pairs BGP spécifiés.

Le filtre de pare-feu sans état correspondance tous les paquets entre les interfaces directement connectées de l’équipement A et de l’équipement B au port de filter_bgp179 destination 179.

Topologie

Figure 1 montre la topologie utilisée dans cet exemple. L’équipement C tente d’établir une connexion TCP à l’équipement E. L’équipement E bloque la tentative de connexion. Cet exemple illustre la configuration de l’équipement E.

Figure 1 : Réseau typique avec des BGP pairsRéseau typique avec des BGP pairs

Configuration

CLI configuration rapide

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les interruptions de ligne, modifiez tous les détails nécessaires pour correspondre à votre configuration réseau, puis copiez/collez les commandes dans le CLI au niveau de la [edit] hiérarchie.

Équipement C

Équipement E

Configuration de l’équipement E

Procédure étape par étape

L’exemple suivant nécessite de naviguer dans différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la CLI, consultez le manuel Using the CLI Editor in Configuration Mode dans le Junos OS CLI User Guide.

Pour configurer l’équipement E avec un filtre de pare-feu sans état qui bloque toutes les tentatives de connexion TCP pour port 179 de tous les demandeurs, sauf indication BGP pairs:

  1. Configurez les interfaces.

  2. Configurez BGP.

  3. Configurez le numéro de système autonome.

  4. Définir le terme de filtre qui accepte les tentatives de connexion TCP pour port 179 à partir de l’BGP pairs spécifiés.

  5. Définissez l’autre terme de filtre pour refuser les paquets provenant d’autres sources.

  6. Appliquez le filtre de pare-feu à l’interface de bouclation.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant les show firewall commandes et le , et show interfacesshow protocolsshow routing-options le Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Si vous avez terminé la configuration de l’équipement, commit saisissez-le en mode de configuration.

Vérification

Vérifier que la configuration fonctionne correctement.

Vérification de la configuration du filtre

But

Assurez-vous que le filtre est répertorié en sortie de la show firewall filter commande.

Action

Vérification des connexions TCP

But

Vérifier les connexions TCP.

Action

À partir du mode opérationnel, exécutez show system connections extensive la commande sur l’équipement C et l’équipement E.

La sortie sur l’équipement C montre la tentative d’établir une connexion TCP. La sortie sur l’équipement E indique que les connexions sont établies uniquement avec les équipements A et B.

Surveillance du trafic sur les interfaces

But

Utilisez la commande pour comparer le trafic sur une interface établissant une connexion TCP avec le trafic sur une interface qui n’en établit pas monitor traffic une.

Action

Du mode opérationnel, exécutez la commande sur l’interface E de l’équipement vers l’équipement B et sur l’interface E de l’équipement monitor traffic vers l’équipement C. La sortie de l’échantillon suivante vérifie que, dans le premier exemple, les messages d’accusé de réception ack () sont reçus. Dans le deuxième exemple, les ack messages ne sont pas reçus.

Exemple: Configuration d’un filtre pour limiter l’accès TCP à un port en fonction d’une liste de préfixes

Cet exemple montre comment configurer un filtre de pare-feu sans état standard qui limite certains trafics ICMP (Internet Control Message Protocol) et TCP à destination des moteur de routage en spécifiant une liste de sources de préfixe contenant les pairs BGP autorisés.

Conditions préalables

Aucune configuration particulière au-delà de l’initialisation de l’équipement n’est requise avant de configurer cet exemple.

Présentation

Dans cet exemple, vous créez un filtre de pare-feu sans état qui bloque toutes les tentatives de connexion TCP pour port 179 de tous les demandeurs, à l’exception BGP pairs 100 % 1 préfixe spécifié.

Topologie

Une liste de préfixes source est créée pour spécifier la liste des préfixes source contenant les BGP plist_bgp179 pairs autorisés.

Le filtre de pare-feu sans état correspondance tous les paquets entre la liste de préfixe source et le filter_bgp179plist_bgp179 port de destination 179.

Configuration

CLI configuration rapide

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les interruptions de ligne, modifiez tous les détails nécessaires pour correspondre à votre configuration réseau, puis copiez/collez les commandes dans le CLI au niveau de la [edit] hiérarchie.

Configurer le filtre

Procédure étape par étape

L’exemple suivant nécessite de naviguer dans différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la CLI, consultez le manuel Using the CLI Editor in Configuration Mode dans le Junos OS CLI User Guide.

Pour configurer le filtre:

  1. Élargissez la liste de préfixes pour inclure tous les préfixes pointés du bgp179 BGP groupe de pairs défini par protocols bgp group <*> neighbor <*> .

  2. Définir le terme de filtre qui rejette les tentatives de connexion TCP pour port 179 de tous les demandeurs, sauf les pairs BGP spécifiés.

  3. Définissez l’autre terme de filtre pour accepter tous les paquets.

  4. Appliquez le filtre de pare-feu à l’interface de bouclation.

Résultats

Depuis le mode de configuration, confirmez votre configuration en entrant les show firewallshow interfaces commandes et les . show policy-options Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Si vous avez terminé la configuration de l’équipement, commit saisissez-le en mode de configuration.

Vérification

Vérifier que la configuration fonctionne correctement.

Affichage du filtre de pare-feu appliqué à l’interface de bouclage

But

Vérifiez que le filtre de pare-feu est appliqué au trafic d’entrée filter_bgp179 IPv4 à l’interface logique lo0.0 .

Action

Utilisez la show interfaces statistics operational mode commande pour l’interface lo0.0 logique et utilisez detail l’option. Dans la section de la section de sortie de commande, le champ affiche le nom du filtre de pare-feu sans état appliqué à l’interface logique Protocol inetInput Filters dans la direction d’entrée.

Exemple: Limitation de la taille des segments TCP pour les BGP

Cet exemple montre comment éviter les problèmes de vulnérabilité ICMP (Internet Control Message Protocol) en limitant la taille du segment TCP lorsque vous utilisez MTU (MTU). L MTU la détection des chemins TCP est l’une des méthodes qui évitent BGP fragmentation des paquets.

Conditions préalables

Aucune configuration particulière au-delà de l’initialisation de l’équipement n’est requise avant de configurer cet exemple.

Présentation

TCP négocie une valeur MSS maximale lors de la création de connexion de session entre deux pairs. La valeur MSS négociée repose principalement sur la MTU (MTU) des interfaces à lesquelles les pairs en communication sont directement connectés. Toutefois, en raison des variations des MTU de liaison sur le chemin pris par les paquets TCP, certains paquets du réseau qui sont bien au-delà de la valeur MSS peuvent être fragmentés lorsque la taille du paquet dépasse la MTU de la liaison.

Pour configurer la valeur MSS TCP, inclure l’instruction avec une taille de segment de tcp-mss 1 à 4096.

Si le routeur reçoit un paquet TCP avec le bit SYN et l’ensemble d’options MSS, et que l’option MSS indiquée dans le paquet est supérieure à la valeur MSS indiquée par l’énoncé, le routeur remplace la valeur MSS du paquet par la valeur inférieure spécifiée par tcp-msstcp-mss l’énoncé.

La valeur MSS configurée est utilisée comme taille de segment maximale pour l’expéditeur. L’hypothèse est que la valeur MSS TCP utilisée par l’expéditeur pour communiquer avec le voisin BGP est la même que la valeur MSS TCP que l’expéditeur peut accepter du voisin BGP. Si la valeur MSS du voisin BGP est inférieure à la valeur MSS configurée, la valeur MSS du voisin BGP est utilisée comme taille de segment maximale pour l’expéditeur.

Cette fonctionnalité est prise en charge par TCP sur IPv4 et TCP sur IPv6.

Schéma de topologie

Figure 2 montre la topologie utilisée dans cet exemple.

Figure 2 : Taille de segment maximale TCP pour les BGPTaille de segment maximale TCP pour les BGP

Configuration

CLI configuration rapide

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les interruptions de ligne, modifiez tous les détails nécessaires pour correspondre à votre configuration réseau, puis copiez/collez les commandes dans le CLI au niveau de la [edit] hiérarchie.

R0

Procédure

Procédure étape par étape

L’exemple suivant nécessite de naviguer dans différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la CLI, consultez le manuel Using the CLI Editor in Configuration Mode dans le Junos OS CLI User Guide.

Pour configurer le routeur R0:

  1. Configurez les interfaces.

  2. Configurez un protocole de passerelle intérieure (IGP), OSPF dans cet exemple.

  3. Configurez un ou plusieurs groupes d BGP de sécurité.

  4. Configurez la MTU pour empêcher la fragmentation des paquets.

  5. Configurez les BGP voisins, avec le MSS TCP configuré globalement pour le groupe ou spécifiquement pour les différents voisins.

    Remarque :

    Les paramètres du voisin TCP MSS remplacent les paramètres de groupe.

  6. Configurez le système autonome local.

Résultats

Depuis le mode de configuration, confirmez votre configuration en entrant les show interfacesshow protocols commandes et les . show routing-options Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Si vous avez terminé la configuration de l’équipement, commit saisissez-le en mode de configuration.

Vérification

Pour vérifier que la configuration fonctionne correctement, exécutez les commandes suivantes:

  • show system connections extensive | find <neighbor-address>, pour vérifier la valeur MSS TCP négociée.

  • monitor traffic interface, pour surveiller BGP du trafic TCP et pour s’assurer que la valeur MSS TCP configurée est utilisée comme option MSS dans le paquet SYN TCP.

Dépannage

Calcul de la MSS avec MTU Discovery

Problème

Prenons un exemple dans lequel deux équipements de routage (R1 et R2) ont une connexion BGP interne (IBGP). Sur les deux routeurs, les interfaces connectées sont IPv4 4034 MTU.

Dans la capture de paquets suivante sur l’équipement R1, le MSS négocié est 3994. Dans les show system connections extensive informations du MSS, elle est définie pour 2048.

Solution

Ce comportement est attendu avec Junos OS. La valeur MSS est égale à la valeur MTU valeur ajoutée sans les en-têtes IP ou IPv6 et TCP. Cela signifie que la valeur du MSS est généralement de 40 octets de moins que la MTU (pour IPv4) et de 60 octets de moins que la valeur de MTU (pour IPv6). Cette valeur est négociée entre les pairs. Ici, nous avons une valeur de 4 034 à 40 = 3 994. Junos OS ensuite 2 Ko. Valeur: 3 994 / 2048 * 2048=2048. Il n’est donc pas nécessaire de voir la même valeur MSS dans le show system connections produit.

3994 / 2048 = 1.95

1,95 est équilibré à 1.

1 * 2048 = 2048