Protocolo de puertas de enlace de límite
35
Protocolo de puertas de enlace de límite Protocolo BGP INTEGRANTES: Acevedo Jiménez, Cinthya Cristina Leiva Calvanapón, Omar Rodriguez Zavaleta, Moisés Alejandro Rubio Ramos, Diego Junior
-
Upload
cinthya-acevedo -
Category
Documents
-
view
253 -
download
1
Transcript of Protocolo de puertas de enlace de límite
Protocolo de
puertas de enlace
de lí mite Protocolo BGP
INTEGRANTES:
Acevedo Jiménez, Cinthya Cristina
Leiva Calvanapón, Omar
Rodriguez Zavaleta, Moisés Alejandro
Rubio Ramos, Diego Junior
Pro
toco
lo d
e p
uer
tas
de
enla
ce d
e lím
ite
1
Protocolo de puertas de enlace de lí mite Capítulo 1 Contenido Capítulo 1 INTRODUCCION .......................................................................................................... 2
Capítulo 2 MARCO TEÓRICO ........................................................................................................ 3
Vista General ............................................................................................................................ 3
PROTOCOLO BGP ..................................................................................................................... 3
TIPOS DE MENSAJES ................................................................................................................. 4
ATRIBUTOS DE RUTA ................................................................................................................ 5
BGP EXTERNO E INTERNO ........................................................................................................ 7
CONFIGURACION BASICA DE BGP ............................................................................................ 7
CREACIÓN Y HABILITACIÓN DE UNA INSTANCIA DE BGP......................................................... 8
CREACIÓN DE UNA INSTANCIA BGP ......................................................................................... 9
ELIMINACIÓN DE UNA INSTANCIA DE BGP .............................................................................. 9
HABILITACIÓN E INHABILITACIÓN DE BGP EN INTERFACES ................................................... 10
INHABILITACIÓN DE BGP EN INTERFACES .............................................................................. 10
CONFIGURACIÓN DE GRUPOS DE INTERLOCUTORES E INTERLOCUTORES BGP .................... 10
CONFIGURACIÓN DE UN INTERLOCUTOR BGP ...................................................................... 14
CONFIGURACIÓN DE UN GRUPO DE INTERLOCUTORES IBGP ............................................... 14
CONFIGURACIÓN DE SEGURIDAD .......................................................................................... 18
VULNERABILIDADES DE BGP .................................................................................................. 18
MEDIDAS DE SEGURIDAD ....................................................................................................... 19
Medidas de seguridad ............................................................................................................ 19
AUTENTICACIÓN DE VECINOS BGP ........................................................................................ 20
CAPACIDAD DE ROUTE-REFRESH ........................................................................................... 23
CONFIGURACIÓN DE LA REFLEXIÓN DE RUTAS ..................................................................... 24
CONFIGURAR UNA CONFEDERACIÓN .................................................................................... 25
COMUNIDADES BGP .............................................................................................................. 26
Capítulo 3 CONCLUSIONES ......................................................................................................... 28
Capítulo 4 ANEXOS ..................................................................................................................... 29
Capítulo 5 BIBLIOGRAFÍA .............................................................. ¡Error! Marcador no definido.
Pro
toco
lo d
e p
uer
tas
de
enla
ce d
e lím
ite
2
Protocolo de puertas de enlace de lí mite
Capí tulo 2 INTRODUCCION
En la presente monografía se describe el protocolo de puertas de enlace de límite
(Border Gateway Protocol, BGP) el cual juega un papel crítico en las comunicaciones
en Internet.
El aspecto de la seguridad en BGP es fundamental debido a que BGP mantiene el
encaminamiento en la infraestructura de Internet. De BGP depende que cuando un
host envíe un paquete a otro host situado en un sistema autónomo diferente, éste
llegue correctamente a su destino.
El Border Gateway Protocol (BGP) es el sistema que utilizan los grandes nodos de
Internet para comunicarse entre ellos y transferir una gran cantidad de información
entre dos puntos de la Red. Su misión es encontrar el camino más eficiente entre
los nodos para propiciar una correcta circulación de la información en Internet.
Pro
toco
lo d
e p
uer
tas
de
enla
ce d
e lím
ite
3
Protocolo de puertas de enlace de lí mite Capí tulo 3 MARCO TEO RICO
Vista General
PROTOCOLO BGP
El protocolo BGP (del inglés Border Gateway Protocol) es un
protocolo de vectores de rutas que se utiliza para transportar
información de enrutamiento entre sistemas autónomos
(AS). Por ejemplo, los proveedores de servicio registrados
en internet suelen componerse de varios sistemas
autónomos y para este caso es necesario un protocolo como
BGP.
La forma de configurar y delimitar la información que
contiene e intercambia el protocolo BGP es creando lo que
se conoce como sistema autónomo*.
Dos interlocutores BGP establecen una sesión BGP para
intercambiar información de enrutamiento. Un enrutador
BGP puede participar en sesiones BGP con distintos
interlocutores. En primer lugar, los interlocutores BGP deben
establecer una conexión TCP entre sí para abrir una sesión
BGP. Una vez establecida la conexión inicial, los
interlocutores intercambian las tablas de enrutamiento
completas.
A medida que cambian las tablas de enrutamiento, los
enrutadores BGP intercambian mensajes de actualización
con los interlocutores. Cada enrutador BGP mantiene
actualizadas las tablas de enrutamiento de todos los
*SISTEMAS
AUTÓNOMOS (AS):
Se define como “un
grupo de redes IP
que poseen una
política de rutas
propia e
independiente”
Un AS es un
conjunto de
enrutadores que se
encuentran en el
mismo dominio
administrativo.
Pro
toco
lo d
e p
uer
tas
de
enla
ce d
e lím
ite
4
interlocutores con los que tiene sesiones, enviándoles periódicamente mensajes de
mantenimiento de conexión para verificar las conexiones.
Para conseguir una entrega fiable de la información, se hace uso de una sesión de
comunicación basada en TCP en el puerto número 179. Esta sesión debe
mantenerse conectada debido a que ambos extremos de la comunicación
periódicamente se intercambian y actualizan información. De modo que al
principio, cada router envía al vecino toda su información de encaminamiento y
después únicamente se enviarán las nuevas rutas, las actualizaciones o la
eliminación de rutas transmitidas con anterioridad. Además periódicamente se
envían mensajes para garantizar la conectividad. Cuando una conexión TCP se
interrumpe por alguna razón, cada extremo de la comunicación está obligado a
dejar de utilizar la información que ha aprendido por el otro lado. En otras palabras,
la sesión TCP sirve como un enlace virtual entre dos sistemas autónomos vecinos, y
la falta de medios de comunicación indica que el enlace virtual se ha caído.
TIPOS DE MENSAJES
Existen cuatro tipos de mensajes BGP:
o OPEN: se utiliza para el establecimiento de una sesión BGP establecida la
conexión TCP. Se suelen negociar ciertos parámetros que caractericen a esa
sesión. Por ejemplo es muy posible que los miembros de la sesión no tengan
la misma versión de BGP por lo que es importante indicar el número de
versión en este mensaje.
o UPDATE: Es un mensaje de actualización, es un mensaje clave en las
operaciones de BGP ya que contiene los anuncios de nuevos prefijos. Se
generarán mensajes de actualización cada vez que se determine una nueva
mejor ruta para cierto destino o haya una modificación sobre alguna
existente.
o KEEPALIVE: Una vez que la sesión BGP está activa se envía periódicamente
un mensaje KEEPALIVE para confirmar que el otro extremo sigue estando
activo en la sesión BGP. Los mensajes KEEPALIVE no se deben generar si el
tiempo de espera es cero ya que en ese caso se entiende que la sesión es
completamente fiable.
o NOTIFICATION: Se envía al cerrar una sesión BGP y esto sucede cuando ocurre
algún error que requiera el cierre de la misma. De modo que es un mensaje que
permite informar nada.
Pro
toco
lo d
e p
uer
tas
de
enla
ce d
e lím
ite
5
ATRIBUTOS DE RUTA
La ingeniería de tráfico en BGP es el modo en que se gestiona la red a partir de los
atributos con los que cuenta dicho protocolo para satisfacer determinadas
características o imposiciones de un escenario BGP.
Para ello se cuenta con un conjunto de atributos que dan información para la toma
de decisión para filtrar o seleccionar rutas. Este grupo de parámetros describen las
características de una ruta. El protocolo BGP empareja los atributos con la ruta que
describen y, a continuación, compara todas las rutas disponibles para un destino
para así seleccionar la mejor ruta de acceso a ese destino.
Se definen a continuación dichos atributos:
o ORIGIN: Identifica el mecanismo por el cual se anunció el prefijo IP por
primera vez, es decir el origen de la ruta. Se puede especificar como IGP (0),
EGP(1) o INCOMPLETE(2). IGP indica que el prefijo IP se aprendió por un
protocolo interior al sistema autónomo como por ejemplo OSFP. EGP indica
que el prefijo IP se aprendió por un protocolo exterior como podría ser BGP,
por ejemplo puede ser debido a que se ha realizado agregación.
Generalmente si el ORIGIN es INCOMPLETE es porque se ha aprendido de
forma estática.
o AS-PATH: Este atributo almacena una secuencia de números de AS que
identifican la ruta de ASs por los que ha pasado el anuncio. Cada vez que un
router de borde propaga una ruta hacia otro lado añade a este atributo su
número de AS constituyendo así la lista de ASs que se pretendía tener. La
lista permanece intacta si no se sale del sistema autónomo.
o NEXT-HOP: Identifica la dirección IP del router correspondiente al siguiente
salto hacia el destino, es decir, es la dirección IP del enrutador al que se
envía tráfico para la ruta. Se debe tener en cuenta que un prefijo IP se
anuncia fuera de un sistema autónomo, por lo que el next-hop es el destino
que se conoce y al que hay que enviar el tráfico de los usuarios que quieran
llegar a un destino final. La información del NEXT-HOP se procesa con los
datos de tabla de encaminamiento IP. Ahora se contará con una tabla IP (con
la que ya se contaba anteriormente) y con una tabla BGP que contendrá el
NEXT-HOP para cada destino. Se obtendrá una ruta hacia el destino BGP
pasando por los saltos que indique la tabla de encaminamiento IP. Si se
quisiera seleccionar una ruta por este atributo se seleccionaría la que
suponga menor coste hacia el NEXT-HOP, es decir, menor número de saltos
hacia el NEXT-HOP.
Pro
toco
lo d
e p
uer
tas
de
enla
ce d
e lím
ite
6
Los atributos de ruta opcionales son:
o MULTI-EXIT-DISCRIMINATOR (MED): Es un indicador diseñado para ser
utilizado cuando desde un sistema autónomo existen múltiples enlaces
hacia un mismo sistema autónomo. (un AS configura el MED y otro AS lo
utiliza para elegir una ruta). Se puede observar más fácilmente en la
siguiente ilustración 1.
ILUSTRACIÓN 1
o LOCAL-PREF: Este atributo es útil en un escenario en el que un sistema
autónomo tiene conectividad con múltiples sistemas autónomos, de
manera que pueda haber múltiples rutas hacia un mismo destino. Es una
métrica utilizada para informar a los interlocutores BGP de las preferencias
del enrutador local para elegir una ruta. Se escogerá el envío de datos por
el enlace que tenga un LOCAL-PREF más alto, siendo el LOCAL-PREF por
defecto de valor 100.
o ATOMIC-AGGREGATE: Informa a los interlocutores BGP de que el enrutador
local seleccionó una ruta menos específica de un conjunto de rutas
superpuestas recibidas de un interlocutor.
o AGGREGATOR especifica el AS y el enrutador que realizaron la agregación de la ruta.
o COMMUNITY: Se puede gestionar la distribución de información de ruteo a
un grupo de destinatarios llamados COMMUNITIES. La idea es que una vez
sustrito a un grupo de destinatarios se les pueda aplicar una política de
ruteo concreta. De ese modo se simplifica el trabajo agregando información
de ruteo así como se proporciona una herramienta para tener un entorno
más vigilado en la red. Se consigue mediante un número que actúa como
Pro
toco
lo d
e p
uer
tas
de
enla
ce d
e lím
ite
7
una etiqueta que califica a la ruta. En resumen, especifica una o varias
comunidades a las que pertenece la ruta.
o CLUSTER LIST: contiene una lista de los clústeres de reflexión a través de los
cuales ha pasado la ruta.
BGP EXTERNO E INTERNO
Existen dos formas de proceder cuando se cuenta con un escenario en el que
implantar BGP. Se debe distinguir entre External BGP (EBGP) e Internal BGP (IBGP).
EBGP hace referencia al intercambio de información entre sistemas autónomos por
ejemplo, cuando distintas redes ISP se conectan entre sí o una red empresarial se
conecta a una red ISP. Sin embargo IBGP hace referencia al intercambio de
información dentro de un sistema autónomo, por ejemplo, una red de una empresa
El objetivo principal de IBGP es distribuir los enrutadores reconocidos por EBGP en
los enrutadores del AS. Un enrutador IBGP puede notificar a sus interlocutores IBGP
rutas reconocidas por sus interlocutores EBGP, pero no puede notificar rutas
reconocidas por sus interlocutores IBGP a otros interlocutores IBGP. Esta restricción
impide que se formen bucles de notificación de ruta dentro de la red, pero también
implica que una red IBGP debe estar absolutamente mallada (es decir, cada
enrutador BGP de la red debe tener una sesión con cada uno de los otros
enrutadores de la red).
Algunos atributos de ruta sólo son aplicables a EBGP o a IBGP. Por ejemplo, el
atributo MED sólo se utiliza en mensajes EBGP, mientras que el atributo LOCAL-
PREF sólo está presente en mensajes IBGP.
CONFIGURACION BASICA DE BGP
En un dispositivo de seguridad, cada instancia BGP se crea individualmente por cada
enrutador virtual (VR). Si dispone de varios VR en un dispositivo, podrá habilitar
múltiples instancias de BGP, una por cada enrutador virtual.
Antes de configurar un protocolo de enrutamiento dinámico en el dispositivo de
seguridad, deberá asignar una ID de enrutador virtual.
Esta sección describe cómo realizar cada una de estas tareas utilizando CLI o WebUI
para el siguiente ejemplo. La Figura 2.1 muestra el dispositivo de seguridad como
Pro
toco
lo d
e p
uer
tas
de
enla
ce d
e lím
ite
8
un interlocutor BGP en AS 65000. Tiene que configurar el dispositivo de seguridad
para que pueda establecer una sesión BGP con el interlocutor en AS 65500.
ILUSTRACIÓN 2
Los pasos básicos para configurar BGP en un VR en un dispositivo de seguridad
son:
CREACIÓN Y HABILITACIÓN DE UNA INSTANCIA DE BGP
Cada instancia de enrutamiento de BGP se crea y se habilita en un enrutador virtual
(VR) específico ubicado en un dispositivo de seguridad. Para crear una instancia de
enrutamiento BGP, primero se debe especificar el número de sistema autónomo en
el que se encuentra el VR. Si el enrutador virtual es un enrutador IBGP, el número
de sistema autónomo será el mismo que el de otros enrutadores IBGP de la red.
Cuando se habilita la instancia de enrutamiento BGP en un VR, la instancia de
enrutamiento BGP será capaz de establecer contacto e iniciar una sesión con los
interlocutores BGP que configure.
NOTA: Los números de sistemas autónomos (AS) son números únicos a
nivel global que se utilizan para intercambiar información de
enrutamiento EBGP y para identificar el sistema autónomo. Las
siguientes entidades asignan números de AS: American Registry for
Internet Numbers (ARIN), Réseaux IP Européens (RIPE) y Asia Pacific
Network Information Center (APNIC). Los números 64512 a 65535 son
de uso privado y no para su notificación global en Internet.
Pro
toco
lo d
e p
uer
tas
de
enla
ce d
e lím
ite
9
CREACIÓN DE UNA INSTANCIA BGP
En el siguiente ejemplo, en primer lugar asignará 0.0.0.10 como ID de enrutador a
trust-vr. A continuación creará y habilitará una instancia de enrutamiento BGP en
el trust-vr, que se encuentra en el dispositivo de seguridad en AS 65000.
WebUI ID de enrutador
Network > Routing > Virtual Router (trust-vr) > Edit: Introduzca los siguientes datos y haga clic en OK:
Virtual Router ID: Custom (seleccione) In the text box, enter 0.0.0.10
Instancia de enrutamiento de BGP Network > Routing > Virtual Routers > Edit (para trust-vr) > Create
BGP Instance: Introduzca los siguientes datos y haga clic en OK:
AS Number (obligatorio): 65000 BGP Enabled: (seleccione)
CLI
ID de enrutador set vrouter trust-vr router-id 10
Instancia de enrutamiento de BGP set vrouter trust-vr protocol bgp 65000 set vrouter trust-vr protocol bgp enable save
ELIMINACIÓN DE UNA INSTANCIA DE BGP
En este ejemplo inhabilitará y eliminará la instancia de enrutamiento de BGP en el enrutador trust-vr. BGP detendrá todas las sesiones con los interlocutores
WebUI Network > Routing > Virtual Routers (trust-vr) > Edit > Edit BGP Instance: Anule la selección de BGP Enabled y haga clic en OK. Network > Routing > Virtual Routers (trust-vr) > Edit: Seleccione Delete BGP Instance, luego haga clic en OK cuando aparezca el mensaje de confirmación. CLI unset vrouter trust-vr protocol bgp enable unset vrouter trust-vr protocol bgp 65000 save
Pro
toco
lo d
e p
uer
tas
de
enla
ce d
e lím
ite
10
HABILITACIÓN E INHABILITACIÓN DE BGP EN INTERFACES
Es necesario habilitar BGP en la interfaz donde resida el interlocutor. (De forma
predeterminada, las interfaces del dispositivo de seguridad no están asociadas a
ningún protocolo de enrutamiento).
Habilitación de BGP en interfaces
En este ejemplo habilitará BGP en la interfaz ethernet4
WebUI
Network > Interfaces > Edit> BGP: Marque la opción Protocol BGP enable, y luego haga clic en OK.
CLI
set interface ethernet4 protocol bgp save
INHABILITACIÓN DE BGP EN INTERFACES
En este ejemplo inhabilitará BGP en la interfaz ethernet4. En las demás interfaces en las que haya habilitado BGP podrán continuar transmitiendo y procesando paquetes BGP.
WebUI Network > Interfaces > Configure (para ethernet4): Elimine la marca de
la opción Protocol BGP enable, y luego haga clic en OK.
CLI
unset interface ethernet4 protocol bgp save
CONFIGURACIÓN DE GRUPOS DE INTERLOCUTORES E INTERLOCUTORES BGP
Antes de que dos dispositivos BGP puedan comunicarse e intercambiar rutas,
necesitan identificarse mutuamente para poder iniciar una sesión BGP. Es necesario
especificar las direcciones IP de los interlocutores BGP y, opcionalmente, configurar
parámetros para establecer y mantener la sesión. Los interlocutores pueden ser
interlocutores internos (IBGP) o externos (EBGP). Si se trata de un interlocutor
EBGP, habrá que especificar el sistema autónomo en el que reside el interlocutor.
Todas las sesiones BGP se autentican comprobando el identificador de interlocutor
Pro
toco
lo d
e p
uer
tas
de
enla
ce d
e lím
ite
11
BGP y el número de AS notificado por los interlocutores. Las conexiones correctas
con un interlocutor se registran. Si surge algún problema durante la conexión con
el interlocutor, el interlocutor enviará o recibirá un mensaje de notificación BGP, lo
que hará que la conexión falle o se cierre.
Es posible configurar parámetros para direcciones de interlocutores individuales.
También se pueden asignar interlocutores a un grupo de interlocutores, lo que
permitirá configurar parámetros para el grupo en su conjunto. No es posible asignar
interlocutores IBGP y EBGP al mismo grupo de interlocutores.
La Tabla siguiente describe parámetros que se pueden configurar para
interlocutores BGP y sus valores predeterminados. Una “X” en la columna
Interlocutor indica un parámetro que se puede configurar para la dirección IP de un
interlocutor, mientras que una “X” en la columna Grupo de interlocutores indica un
parámetro que se puede configurar para un grupo de interlocutores.
Pro
toco
lo d
e p
uer
tas
de
enla
ce d
e lím
ite
12
Parámetro BGP Interlocutor Grupo de
Interlocutores Descripción
Valor
predeterminado
ADVERTISE DEFAULT
ROUTE X
Notifica la ruta predeterminada
en el enrutador virtual a
interlocutores BGP.
La ruta
predeterminada
no
se notifica
EBGP MULTIHOP X X Número de nodos entre el BGP
local y el vecino. 0 (desactivado)
FORCÉ CONNECT X X
Hace que la instancia de BGP
descarte una conexión BGP
existente con el interlocutor
especificado y acepte una nueva
conexión.
Este parámetro resulta de
utilidad cuando hay una conexión
con un enrutador que queda
fuera de línea y luego vuelve a
ponerse en
línea e intenta restablecer una
conexión BGP, 116
Configuración básica de BGP
ya que permite un
restablecimiento más rápido de
la conexión entre interlocutores
N/A
HOLD TIME X X
Tiempo transcurrido sin que
lleguen mensajes de un
interlocutor antes de que se
considere fuera de línea.
180 segundos
KEEPALIVE X X
Tiempo entre transmisiones de
mantenimiento de conexión
(keepalive).
1/3 del tiempo
de
retención (hold-
time)
MD5 AUTHENTICATION X X Configura la autenticación MD-5.
Sólo se
comprueba el
identificador de
interlocutor y el
número
de AS
MED X Configura el valor de atributo
MED.
0
Pro
toco
lo d
e p
uer
tas
de
enla
ce d
e lím
ite
13
NEXT-HOP SELF X X
En las rutas enviadas al
interlocutor, el atributo de ruta
al salto siguiente se ajusta en la
dirección IP de la interfaz del
enrutador virtual local.
Atributo de salto
siguiente
no cambiado
REFLECTOR CLIENT X X
El interlocutor es un cliente de
reflexión cuando el protocolo
BGP local se configura como el
reflector de rutas.
Ninguno
REJECT DEFAULT ROUTE X
No tiene en cuenta las
notificaciones de ruta
predeterminada procedentes de
los interlocutores BGP.
Las rutas
predeterminadas
de los
interlocutores se
agregan a la
tabla de
enrutamiento
RETRY TIME X X
Tras un intento fallido de inicio
de sesión, Send community
tiempo que se tarda en
reintentar iniciar la sesión BGP.
120 segundos
SEND COMMUNITY X X Transmite el atributo de
comunidad al interlocutor.
Atributo de
comunidad no
enviado a los
interlocutores
WEIGHT X X Prioridad de ruta entre el BGP
local y el interlocutor 100
Es posible configurar algunos parámetros en el nivel de interlocutores y en el de
protocolo. Por ejemplo, puede configurar el valor de tiempo de espera para un
interlocutor específico con un valor de 210 segundos, mientras que el valor de
tiempo de espera predeterminado en el nivel de protocolo es de 180 segundos; en
tal caso, la configuración del interlocutor tendrá preferencia. Los valores MED
ajustados en el nivel de protocolo y en el nivel de interlocutor pueden ser distintos;
el valor MED ajustado en el nivel de interlocutor sólo se aplicará a las rutas que se
notifiquen a esos interlocutores.
Pro
toco
lo d
e p
uer
tas
de
enla
ce d
e lím
ite
14
CONFIGURACIÓN DE UN INTERLOCUTOR BGP
En el siguiente ejemplo configuraremos y habilitaremos un interlocutor BGP. Este
interlocutor tiene los siguientes atributos:
Dirección IP 1.1.1.250
Reside en AS 65500
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP
Instance > Neighbors: Introduzca los siguientes datos y haga clic en Add:
AS Number: 65500
Remote IP: 1.1.1.250
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP
Instance > Neighbors > Configure (para el interlocutor que acabe de
agregar):
Seleccione Peer Enabled y luego haga clic en OK.
CLI
set vrouter trust-vr protocol bgp neighbor 1.1.1.250 remote-as 65500
set vrouter trust-vr protocol bgp neighbor 1.1.1.250 enable
save
CONFIGURACIÓN DE UN GRUPO DE INTERLOCUTORES IBGP
Ahora configurará un grupo de interlocutores IBGP llamado ibgp que contendrá las
siguientes direcciones IP: 10.1.2.250 y 10.1.3.250. Una vez haya definido un grupo
de interlocutores, podrá configurar parámetros (como la autenticación MD5) que
se aplicarán a todos los miembros del grupo de interlocutores.
Pro
toco
lo d
e p
uer
tas
de
enla
ce d
e lím
ite
15
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit
BGP
Instance > Peer Group: Escriba ibgp en el campo Group Name,
luego haga clic en Add.
> Configure (para ibgp): En el campo Peer authentication,
introduzca
verify03 y haga clic en OK.
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit
BGP
Instance > Neighbors: Introduzca los siguientes datos y haga clic en
Add:
AS Number: 65000
Remote IP: 10.1.2.250
Peer Group: ibgp (seleccione)
Introduzca los siguientes datos y haga clic en Add:
AS Number: 65000
Remote IP: 10.1.3.250
Peer Group: ibgp (seleccione)
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit
BGP
Instance > Neighbors > Configure (para 10.1.2.250): Seleccione
Peer Enabled
y luego haga clic en OK.
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit
BGP
Instance > Neighbors > Configure (para 10.1.3.250): Seleccione
Peer Enabled
y luego haga clic en OK.
CLI
set vrouter trust-vr protocol bgp neighbor peer-group ibgp
Deberá habilitar cada
conexión de
interlocutor que
configure. Si
configura
interlocutores como
parte de un grupo,
tendrá que habilitar
las conexiones de los
interlocutores una a
una.
NOTA
Pro
toco
lo d
e p
uer
tas
de
enla
ce d
e lím
ite
16
set vrouter trust-vr protocol bgp neighbor peer-group ibgp remote-as 65000
set vrouter trust-vr protocol bgp neighbor peer-group ibgp md5-
authentication
verify03
set vrouter trust-vr protocol bgp neighbor 10.1.2.250 remote-as 65000
set vrouter trust-vr protocol bgp neighbor 10.1.2.250 peer-group ibgp
set vrouter trust-vr protocol bgp neighbor 10.1.3.250 remote-as 65000
set vrouter trust-vr protocol bgp neighbor 10.1.3.250 peer-group ibgp
set vrouter trust-vr protocol bgp neighbor 10.1.2.250 enable
set vrouter trust-vr protocol bgp neighbor 10.1.3.250 enable
save
Comprobación de la configuración BGP
Puede revisar la configuración introducida a través de WebUI o CLI ejecutando el
comando get vrouter enrut_virtual protocol bgp config
device-> get vrouter trust-vr protocol bgp config
set protocol bgp 65000
set enable
set neighbor peer-group "ibgp"
set neighbor peer-group "ibgp" md5-authentication
"cq1tu6gVNU5gvfsO60CsvxVPNnntO
PwY/g=="
set neighbor 10.1.2.250 remote-as 65000
output continues...
exit
Para comprobar si BGP se está ejecutando en el enrutador virtual, ejecute el
comando get vrouter enrut_virtual protocol bgp .
device-> get vrouter trust-vr protocol bgp
Admin State: habilitar
Local Router ID: 10.1.1.250
Local AS number: 65000
Hold time: 180
Keepalive interval: 60 = 1/3 hold time, default
Local MED is: 0
Always compare MED: disable
Local preference: 100
Route Flap Damping: disable
IGP synchronization: disable
Pro
toco
lo d
e p
uer
tas
de
enla
ce d
e lím
ite
17
Route reflector: disable
Cluster ID: not set (ID = 0)
Confederation based on RFC 1965
Confederation (confederación): disable (confederation ID = 0)
Member AS: none
Origin default route: disable
Ignore default route: disable
Puede visualizar el estado administrativo del enrutador virtual (VR) y de la
identificación del enrutador, así como todos los demás parámetros configurados
relativos al BGP.
Para comprobar si un interlocutor o grupo de interlocutores BGP está habilitado y
Ver el estado de la sesión BGP, ejecute el comando get vrouter enrut_virtual
protocol bgp neighbor.
device-> get vrouter trust-vr protocol bgp neighbor
Peer AS Remote IP Local IP Wt Status State ConnID
65500 1.1.1.250 0.0.0.0 100 Enabled ACTIVE up
Total 1 BGP peers shown
En este ejemplo puede verificar si el interlocutor BGP está habilitado y si la sesión
está activa.
El estado puede ser uno de los que aquí se indican:
Idle: primer estado de la conexión.
Connect: BGP está esperando una conexión de transporte TCP correcta.
Active: BGP está iniciando una conexión de transporte.
OpenSent: BGP está esperando un mensaje de apertura (OPEN) del
interlocutor.
OpenConfirm: BGP está esperando un mensaje de mantenimiento de
conexión (KEEPALIVE) o notificación (NOTIFICATION) del interlocutor.
Established: BGP está intercambiado paquetes de actualización (UPDATE)
con el interlocutor.
Pro
toco
lo d
e p
uer
tas
de
enla
ce d
e lím
ite
18
CONFIGURACIÓN DE SEGURIDAD
El aspecto de la seguridad en BGP es fundamental debido a que BGP mantiene el
encaminamiento en la infraestructura de Internet. De BGP depende que cuando un
host envíe un paquete a otro host situado en un sistema autónomo diferente, éste
llegue correctamente a su destino debido a continuación desarrollaremos los
posibles problemas de seguridad en el dominio de enrutamiento BGP y ciertos
métodos de prevención de ataques.
VULNERABILIDADES DE BGP
VULNERABILIDADES DE BGP
Falta de verificación de integridad en
las rutas recibidas.
Envío de información de
encaminamiento en texto claro.
Mal manejo en el control de
encaminamiento que puede producir
negación de servicios.
No se autentica el origen de las rutas.
Los ataques de suplantación de
prefijos, sistemas autónomos o routers
pueden realizarse con relativa facilidad
y tener repercusiones a nivel de
Internet.
Falta de control temporal de los
mensajes BGP. Sin este control, un
atacante situado entre dos routers
BGP vecinos podría capturar tráfico
BGP (un mensaje UPDATE que elimine
cierta ruta por ejemplo) y reproducirlo
en un instante futuro.
Pro
toco
lo d
e p
uer
tas
de
enla
ce d
e lím
ite
19
MEDIDAS DE SEGURIDAD
Mostraremos una visión general de las medidas a tomar para garantizar la
seguridad de BGP. Luego detallaremos algunas de estas medidas.
Medidas de seguridad
Proteger los mensajes de actualización
(updates): Un mensaje de
actualización erróneo o falsificado
provocaría la elección equivocada de
rutas
Control de acceso para evitar
información no autorizada (spoofing).
Esto se lleva a cabo mediante filtros de
entrada que evitan que redes no
autorizadas ingresen en un sistema
autónomo.
Autenticación, para verificar el origen
de la información anunciada mediante
algoritmos de firma digital (DSS).
Integridad para verificar que la
información no ha sido alterada, para lo
cual se utilizan funciones hash (MD5,
SHA).
Confidencialidad de los mensajes de
actualización (updates) para evitar el
monitoreo por un intruso no
autorizado.
Pro
toco
lo d
e p
uer
tas
de
enla
ce d
e lím
ite
20
AUTENTICACIÓN DE VECINOS BGP
Los enrutadores BGP puede ser fácilmente copiado o decifrado porque los paquetes
BGP no se encriptan, esto quiere decir que al convertir un texto normal en un texto
codificado de forma que las personas que no conozcan el código sean incapaces de
leerlo, y la mayoría de los analizadores de protocolo permiten descifrar paquetes
BGP. Para acabar con este riesgo que implica la suplantación de enrutadores
debemos autenticar los interlocutores BGP
Los enrutadores BGP ofrecen autenticación MD5 para validar los paquetes BGP
recibidos de un interlocutor. Para MD5 es necesario utilizar la misma clave para los
enrutadores BGP de envío y de recepción.
RECHAZO DE RUTAS PREDETERMINADAS
Si alguien intenta desviar una ruta, el enrutador proporciona una ruta
predeterminada en el dominio para que todos los paquetes enviados se desvien
hacia el. El enrutador puede descartar los paquetes, causando una interrupción en
el servicio, o puede eliminar información crítica de los paquetes antes de
reenviarlos. En los dispositivos de seguridad, BGP acepta en principio cualquier ruta
predeterminada enviada por interlocutores BGP y agrega la ruta predeterminada a
la tabla de rutas.
REDISTRIBUCIÓN DE RUTAS EN BGP
El intercambio de información sobre rutas entre protocolos de enrutamiento se
conoce como la redistribución de rutas protocolos de enrutamiento. Se pueden
redistribuir los siguientes tipos de rutas en la instancia de enrutamiento de RIP de
un mismo enrutador virtual:
Rutas reconocidas por OSPF o RIP
Pro
toco
lo d
e p
uer
tas
de
enla
ce d
e lím
ite
21
Rutas conectadas directamente
Rutas importadas
Rutas configuradas estáticamente
Cuando se configura la redistribución de rutas, primero se debe especificar un mapa
de rutas para filtrar las rutas que se vayan a redistribuir. Para obtener más
información sobre la creación de mapas de rutas para la redistribución.
CONFIGURACIÓN DE UNA LISTA DE ACCESO AS-PATH
AS-Path,Este atributo almacena una secuencia de números de AS que identifican la
ruta de ASs por los que ha pasado el anuncio. Cada vez que un router de borde
propaga una ruta hacia otro lado añade a este atributo su número de AS
constituyendo así la lista de ASs que se pretendía tener. La lista permanece intacta
si se usa IBGP, es decir, si no se sale del sistema autónomo. Si se quisiera utilizar el
AS-PATH como método de selección de rutas se escogería el que tuviera una lista
Pro
toco
lo d
e p
uer
tas
de
enla
ce d
e lím
ite
22
AS-PATH más pequeña. Esto es una forma de medir que haya menos saltos hacia el
destino aunque no es exactamente así porque no se tienen en cuenta los posibles
saltos debidos a los routers dentro de un sistema autónomo.
Un ejemplo de ese tipo de configuración es cuando utilizmos una lista de acceso AS-
path para filtrar rutas que han pasado por un AS determinado o rutas que proceden
de un AS.
AGREGAR RUTAS A BGP
Para permitir que el BGP anuncie las rutas de red, es necesario redistribuir las rutas
desde el protocolo de origen al protocolo de notificación (BGP) en el mismo
enrutador virtual (VR).
También se pueden agragar rutas estáticas a BGP como el ejemplo a continuación:
Agregar rutas estáticas para nuestro prefijo apuntando hacia null, para el loopback
de iBGP. Además hay que agregar rutas estáticas para los prefijos más específicos
que se requieran
ip route 128.223.0.0 255.255.224.0 Null 0
ip route 128.223.253.23 255.255.255.255 192.168.50.2
ip route 128.223.175.0 255.255.255.0 192.168.50.5
ip route 128.223.140.128 255.255.255.128 192.168.50.8
Debemos restringir quien se conecta al puerto 179 (BGP). Solo permitiremos las
conexiones desde nuestros peers. Cualquier otro intento será registrado en los logs.
Este ACL debe ser aplicado a las interfaces externas o este segmento deberá ser
agregado a un ACL existente
ip access-list extended inbound-filter
permit tcp any any established
deny ip 128.223.0.0 0.0.255.255 any
deny ip 127.0.0.0 0.255.255.255 any
deny ip 0.0.0.0 0.255.255.255 any
deny ip 10.0.0.0 0.255.255.255 any
deny ip 172.16.0.0 0.15.255.255 any
deny ip 192.168.0.0 0.0.255.255 any
deny ip 169.254.0.0 0.0.255.255 any
deny ip 192.0.2.0 0.0.0.255 any
Pro
toco
lo d
e p
uer
tas
de
enla
ce d
e lím
ite
23
permit tcp host 198.32.163.2 host 198.32.163.1 eq 179
permit tcp host 198.32.163.2 eq bgp host 198.32.163.1
deny tcp any host 198.32.163.1 eq 179
Por lo menos queremos un registro de los intentos de conexión. También
podríamos bloquearlo por completo :permit tcp any any eq 179 log
CAPACIDAD DE ROUTE-REFRESH
Route-refresh de BGP ofrece un mecanismo de restablecimiento suave que
permite el intercambio dinámico de información sobre enrutamiento y solicitudes
de actualización de rutas entre los interlocutores de BGP y la nueva notificación
de la tabla de enrutamiento entrante y saliente.
Un restablecimiento abrupto es perjudicial porque las sesiones BGP activas
se interrumpen y se mueven a recuperar.
Un restablecimiento suave permite que se aplique una directiva nueva o
modificada sin borrar una sesión BGP activa.
La característica de route-refresh permite que se realice un restablecimiento
suave por vecino y no requiere configuración previa o memoria adicional.
Los restablecimientos suaves entrantes y dinámicos se realizan para
generar actualizaciones entrantes de un vecino. Un restablecimiento suave
saliente se utiliza para enviar un nuevo conjunto de actualizaciones a un
vecino.
Los restablecimientos salientes no requieren configuración previa o
almacenamiento de las actualizaciones de la tabla de enrutamiento.
El enrutamiento y actualización requiere que los interlocutores BGP notifiquen
que admiten la función de route-refresh en el mensaje de apertura OPEN.
Si este método de route –refresh se negocia satisfactoriamente, cualquier
interlocutor BGP puede utilizar la característica de route-refresh para solicitar
información completa sobre el enrutamiento desde el otro extremo.
Solicitud de una actualización de la tabla de enrutamiento entrante.
Usted solita que se envíe la tabla de enrutamiento entrante del interlocutor
vecino al trust-vr del interlocutor BGP local, utilizando el comando soft-int.
Pro
toco
lo d
e p
uer
tas
de
enla
ce d
e lím
ite
24
Solicitud de una actualización de la tabla de enrutamiento saliente.
En este caso usted envía la tabla de enrutamiento para trust-vr a través de las
actualizaciones del interlocutor BGP local al interlocutor vecino, utilizando el
comando soft-out.
CONFIGURACIÓN DE LA REFLEXIÓN DE RUTAS
Debido a que el enrutador IBGP no puede notificar rutas reconocidas por un
interlocutor IBGP a otro interlocutor IBGP, entonces es necesaria una malla
completa de sesiones IBGP, donde cada enrutador es un AS, BGP será un
interlocutor de los demás enrutadores BGP.
Una malla completa implica que cada enrutador tiene que ser capaz de establecer
y mantener una sesión IBGP con cada una de los demás enrutadores.
La reflexión de rutas es un método para solucionar el problema de escalabilidad
IBGP. Un reflector de ruta es un enrutador que entrega rutas reconocidas por IGBP
a los vecinos IGBP (clientes).
El reflector de rutas y sus clientes forman un clúster, que se puede identificar por
medio de una ID se clúster. Los enrutadores situados fuera de este clúster una única
identidad, en lugar de comunicarse de forma independiente. De esta forma se
Pro
toco
lo d
e p
uer
tas
de
enla
ce d
e lím
ite
25
reduce la carga de procesamiento, los clientes intercambian rutas con el reflector,
mientras que esta refleja ruta entre clientes.
El enrutador virtual local del dispositivo de seguridad puede actuar como un
reflector de rutas y se le puede asignar una identificación de clúster.
La ID de clúster contribuye a evitar la formación de bucles.
Después de configurar un reflector de rutas en el enrutador virtual local, se definen
los clientes del reflector .Es posible especificar direcciones IP individuales a un
grupo de interlocutores para los clientes.
CONFIGURAR UNA CONFEDERACIÓN
Una confederación divide un sistema autónomo en varios AS mas pequeños, con
cada subsistema autónomo funcionando como una red IBGP de malla completa.
Cualquier enrutador ubicado fuera de la conferencia vera la confederación
completa como un único sistema autónomo con un solo identificador.
Las sesiones entre enrutadores en dos subsistemas distintos de la misma
confederación, conocidas como sesiones EBGP, no son mas que sesiones EBGP
entre sistemas autónomos.
Datos a tener en cuenta por cada enrutador de una confederación:
o El número de subsistema autónomo
o La confederación a la que pertenece el subsistema autónomo.
o Los números de los otros subsistemas de la confederación.
o Si la confederación admite normas RFC 1965 o RFC 3065.
Pro
toco
lo d
e p
uer
tas
de
enla
ce d
e lím
ite
26
Para este caso la confederación seria:
RTC#
router bgp 50
bgp confederation identifier 500
bgp confederation peers 60 70
neighbor 128.213.10.1 remote-as 50 (conexión iBGP en el AS50)
neighbor 128.213.20.1 remote-as 50 (conexión iBGP en el AS50)
neighbor 129.210.11.1 remote-as 60 (conexión BGP con peer de confederación
60)
neighbor 135.212.14.1 remote-as 70 (conexión BGP con peer de confederación
70)
neighbor 5.5.5.5 remote-as 100 (conexión eBGP con el AS100 externo)
COMUNIDADES BGP
Un enrutador BGP puede agregar comunidades o modificar comunidades de una
ruta. Este atributo ofrece una técnica alternativa para distribuir información de
rutas de acuerdo con los prefijos de direcciones IP o el atributo AS-path. Su principal
objetivo es simplificar la configuración de directivas de enrutamiento en entorno
de redes completos.
La norma RFC 1997 describe el funcionamiento de las comunidades BGP.
Pro
toco
lo d
e p
uer
tas
de
enla
ce d
e lím
ite
27
Tipos de comunidades:
Comunidad específica, está formada por un identificador de AS y un
identificador de comunidad.
Comunidad bien conocida implica un manejo especial de rutas que
contienen esos valores de comunidad.
Valores de comunidad que se pueden especificar para las rutas BGP en el
dispositivo de seguridad:
No-export: las rutas con este atributo de ruta communities no se
notifican fuera de una confederación BGP
No-advertise: las rutas con este atributo de ruta communities no se
notifican a otros interlocutores BGP.
No-export-subconfed: las rutas con este atributo de ruta communities
no se notifican a interlocutores EBGP.
Agregación de rutas:
Técnica para resumir rangos de direcciones de enrutamiento en una sola entrada
de ruta.
Agregación de rutas con diferentes AS-Paths
Al configurar una ruta agregada, puede especificar que el campo AS-Set del
atributo de ruta AS-Path de BGP incluya las rutas AS de todas las rutas
contribuyentes.
Supresión de las rutas más específicas en actualizaciones.
Al configurar una ruta agregada, puede especificar que las rutas más específicas
(more specific) sean filtradas(excluidas) de las actualizaciones de enrutamiento.
Selección de rutas para el atributo Path.
Al configurar una ruta agregada, puede especificar que rutas deben o no deben
ser utilizadas para construir el atributo de ruta AS- Path del BGP de la ruta
agregada.
Cambiar atributos de una ruta agregada:
Al configurar una ruta agregada, puede establecer sus atributos basándose en un
mapa de ruta especificado.
Pro
toco
lo d
e p
uer
tas
de
enla
ce d
e lím
ite
28
Protocolo de puertas de enlace de lí mite Capí tulo 4 CONCLUSIONES
o El objetivo de la seguridad en BGP deberá ser que un ataque a un sistema
autónomo o una orden de configuración no se propague al resto de
Internet y se mantenga local.
o la seguridad en BGP es fundamental debido a que BGP mantiene el
encaminamiento en la infraestructura de Internet.
o La seguridad tiene siempre un coste, aunque su implantación no debe ser
excesivamente compleja puesto que no sería práctico, tiene que tener un
grado aceptable de confiabilidad.
o Route-refresh no requiere configuración previa o memoria adicional, ya
que permite que se realice un restablecimiento suave por vecino.
o Una confederación divide un sistema autónomo en varios sistemas
autonomos más pequeños, con cada subsistema autónomo funcionando
como una red IBGP de malla completa.
o La reflexión de rutas es un método para solucionar el problema de
escalabilidad IBGP. Un reflector de ruta es un enrutador que entrega rutas
reconocidas por IGBP a los vecinos IGBP.
Pro
toco
lo d
e p
uer
tas
de
enla
ce d
e lím
ite
29
Capí tulo 5 ANEXOS
Pro
toco
lo d
e p
uer
tas
de
enla
ce d
e lím
ite
30
Pro
toco
lo d
e p
uer
tas
de
enla
ce d
e lím
ite
31
Pro
toco
lo d
e p
uer
tas
de
enla
ce d
e lím
ite
32
Pro
toco
lo d
e p
uer
tas
de
enla
ce d
e lím
ite
33
Pro
toco
lo d
e p
uer
tas
de
enla
ce d
e lím
ite
34
Protocolo de puertas de enlace de lí mite Capí tulo 6 REFERENCIAS
o http://eduangi.com/2007/03/09/resumen-de-bgp/
o Border Gateway Protocol-- Wikipedia, la enciclopedia libre
o http://bibing.us.es/proyectos/abreproy/11359/fichero/BGP%252F10.
+Seguridad+en+BGP.pdf
o Seguridad En Bgp, Ataques Al Protocolo Y Fallos De Configuración-
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA (ICAI) - INGENIERO
TÉCNICO EN INFORMÁTICA DE GESTIÓN
