Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Protocolo de
puertas de enlace
de límite
Protocolo BGP

INTEGRANTES:





Acevedo Jiménez, Cinthya Cristina
Leiva Calv...
Protocolo de puertas de
enlace de límite
Capítulo 1 Contenido
Capítulo 1 INTRODUCCION .......................................
Protocolo de puertas de
enlace de límite
Capítulo 2 INTRODUCCION
En la presente monografía se describe el protocolo de pue...
Protocolo
de
puertas
de
enlace de límite
Capítulo 3 MARCO TEORICO
Vista General

*SISTEMAS

PROTOCOLO BGP
El protocolo BGP...
Protocolo de puertas de enlace de límite

interlocutores con los que tiene sesiones, enviándoles periódicamente mensajes d...
ATRIBUTOS DE RUTA
La ingeniería de tráfico en BGP es el modo en que se gestiona la red a partir de los
atributos con los q...
Los atributos de ruta opcionales son:

Protocolo de puertas de enlace de límite

o MULTI-EXIT-DISCRIMINATOR (MED): Es un i...
una etiqueta que califica a la ruta. En resumen, especifica una o varias
comunidades a las que pertenece la ruta.
o CLUSTE...
un interlocutor BGP en AS 65000. Tiene que configurar el dispositivo de seguridad
para que pueda establecer una sesión BGP...
CREACIÓN DE UNA INSTANCIA BGP
En el siguiente ejemplo, en primer lugar asignará 0.0.0.10 como ID de enrutador a
trust-vr. ...
HABILITACIÓN E INHABILITACIÓN DE BGP EN INTERFACES
Es necesario habilitar BGP en la interfaz donde resida el interlocutor....
BGP y el número de AS notificado por los interlocutores. Las conexiones correctas
con un interlocutor se registran. Si sur...
Parámetro BGP

Interlocutor

Grupo de
Interlocutores

Descripción

Notifica la ruta predeterminada
en el enrutador virtual...
NEXT-HOP SELF

REFLECTOR CLIENT

X

X

X

X

En las rutas enviadas al
interlocutor, el atributo de ruta
al salto siguiente...
CONFIGURACIÓN DE UN INTERLOCUTOR BGP
En el siguiente ejemplo configuraremos y habilitaremos un interlocutor BGP. Este
inte...
Deberá habilitar cada
conexión de
interlocutor que
configure. Si
configura
interlocutores como
parte de un grupo,
tendrá q...
set vrouter trust-vr protocol bgp neighbor peer-group ibgp remote-as 65000
set vrouter trust-vr protocol bgp neighbor peer...
Route reflector:
disable
Cluster ID:
not set (ID = 0)
Confederation based on RFC 1965
Confederation (confederación):
disab...
CONFIGURACIÓN DE SEGURIDAD
El aspecto de la seguridad en BGP es fundamental debido a que BGP mantiene el
encaminamiento en...
MEDIDAS DE SEGURIDAD
Mostraremos una visión general de las medidas a tomar para garantizar la
seguridad de BGP. Luego deta...
AUTENTICACIÓN DE VECINOS BGP
Los enrutadores BGP puede ser fácilmente copiado o decifrado porque los paquetes
BGP no se en...
 Rutas conectadas directamente

Protocolo de puertas de enlace de límite

 Rutas importadas
 Rutas configuradas estátic...
AS-PATH más pequeña. Esto es una forma de medir que haya menos saltos hacia el
destino aunque no es exactamente así porque...
permit tcp host 198.32.163.2 host 198.32.163.1 eq 179
permit tcp host 198.32.163.2 eq bgp host 198.32.163.1
deny tcp any h...
Solicitud de una actualización de la tabla de enrutamiento saliente.
En este caso usted envía la tabla de enrutamiento par...
reduce la carga de procesamiento, los clientes intercambian rutas con el reflector,
mientras que esta refleja ruta entre c...
Protocolo de puertas de enlace de límite

Para este caso la confederación seria:
RTC#
router bgp 50
bgp confederation iden...
Tipos de comunidades:
 Comunidad específica, está formada por un identificador de AS y un
identificador de comunidad.
 C...
Protocolo de puertas de
enlace de límite
Capítulo 4 CONCLUSIONES
o El objetivo de la seguridad en BGP deberá ser que un at...
Protocolo de puertas de enlace de límite

Capítulo 5 ANEXOS

29
30
Protocolo de puertas de enlace de límite
31

Protocolo de puertas de enlace de límite
32
Protocolo de puertas de enlace de límite
33

Protocolo de puertas de enlace de límite
Protocolo de puertas de
enlace de límite
Capítulo 6 REFERENCIAS
o http://eduangi.com/2007/03/09/resumen-de-bgp/

Protocolo...
Upcoming SlideShare
Loading in …5
×

Protocolo de puertas de enlace de límite

631 views

Published on

  • Be the first to comment

  • Be the first to like this

Protocolo de puertas de enlace de límite

  1. 1. Protocolo de puertas de enlace de límite Protocolo BGP INTEGRANTES:     Acevedo Jiménez, Cinthya Cristina Leiva Calvanapón, Omar Rodriguez Zavaleta, Moisés Alejandro Rubio Ramos, Diego Junior
  2. 2. Protocolo de puertas de enlace de límite Capítulo 1 Contenido Capítulo 1 INTRODUCCION .......................................................................................................... 2 Capítulo 2 MARCO TEÓRICO ........................................................................................................ 3 Vista General ............................................................................................................................ 3 PROTOCOLO BGP ..................................................................................................................... 3 TIPOS DE MENSAJES................................................................................................................. 4 BGP EXTERNO E INTERNO ........................................................................................................ 7 CONFIGURACION BASICA DE BGP ............................................................................................ 7 CREACIÓN Y HABILITACIÓN DE UNA INSTANCIA DE BGP......................................................... 8 CREACIÓN DE UNA INSTANCIA BGP ......................................................................................... 9 ELIMINACIÓN DE UNA INSTANCIA DE BGP .............................................................................. 9 HABILITACIÓN E INHABILITACIÓN DE BGP EN INTERFACES ................................................... 10 INHABILITACIÓN DE BGP EN INTERFACES .............................................................................. 10 CONFIGURACIÓN DE GRUPOS DE INTERLOCUTORES E INTERLOCUTORES BGP .................... 10 CONFIGURACIÓN DE UN INTERLOCUTOR BGP ...................................................................... 14 Protocolo de puertas de enlace de límite ATRIBUTOS DE RUTA ................................................................................................................ 5 CONFIGURACIÓN DE UN GRUPO DE INTERLOCUTORES IBGP ............................................... 14 CONFIGURACIÓN DE SEGURIDAD .......................................................................................... 18 VULNERABILIDADES DE BGP .................................................................................................. 18 MEDIDAS DE SEGURIDAD....................................................................................................... 19 Medidas de seguridad ............................................................................................................ 19 AUTENTICACIÓN DE VECINOS BGP ........................................................................................ 20 CAPACIDAD DE ROUTE-REFRESH ........................................................................................... 23 CONFIGURACIÓN DE LA REFLEXIÓN DE RUTAS ..................................................................... 24 CONFIGURAR UNA CONFEDERACIÓN .................................................................................... 25 COMUNIDADES BGP .............................................................................................................. 26 Capítulo 3 CONCLUSIONES......................................................................................................... 28 Capítulo 4 ANEXOS ..................................................................................................................... 29 Capítulo 5 BIBLIOGRAFÍA .............................................................. ¡Error! Marcador no definido. 1
  3. 3. Protocolo de puertas de enlace de límite Capítulo 2 INTRODUCCION En la presente monografía se describe el protocolo de puertas de enlace de límite (Border Gateway Protocol, BGP) el cual juega un papel crítico en las comunicaciones Protocolo de puertas de enlace de límite en Internet. El aspecto de la seguridad en BGP es fundamental debido a que BGP mantiene el encaminamiento en la infraestructura de Internet. De BGP depende que cuando un host envíe un paquete a otro host situado en un sistema autónomo diferente, éste llegue correctamente a su destino. El Border Gateway Protocol (BGP) es el sistema que utilizan los grandes nodos de Internet para comunicarse entre ellos y transferir una gran cantidad de información entre dos puntos de la Red. Su misión es encontrar el camino más eficiente entre los nodos para propiciar una correcta circulación de la información en Internet. 2
  4. 4. Protocolo de puertas de enlace de límite Capítulo 3 MARCO TEORICO Vista General *SISTEMAS PROTOCOLO BGP El protocolo BGP (del inglés Border Gateway Protocol) es un protocolo de vectores de rutas que se utiliza para transportar información de enrutamiento entre sistemas autónomos (AS). Por ejemplo, los proveedores de servicio registrados en internet suelen componerse de varios sistemas autónomos y para este caso es necesario un protocolo como BGP. La forma de configurar y delimitar la información que contiene e intercambia el protocolo BGP es creando lo que se conoce como sistema autónomo*. Dos interlocutores BGP establecen una sesión BGP para intercambiar información de enrutamiento. Un enrutador BGP puede participar en sesiones BGP con distintos interlocutores. En primer lugar, los interlocutores BGP deben establecer una conexión TCP entre sí para abrir una sesión BGP. Una vez establecida la conexión inicial, los interlocutores intercambian las tablas de enrutamiento completas. A medida que cambian las tablas de enrutamiento, los enrutadores BGP intercambian mensajes de actualización con los interlocutores. Cada enrutador BGP mantiene actualizadas las tablas de enrutamiento de todos los Se define como “un grupo de redes IP que poseen una política de rutas propia e independiente” Un AS es un conjunto de Protocolo de puertas de enlace de límite AUTÓNOMOS (AS): enrutadores que se encuentran en el mismo dominio administrativo. 3
  5. 5. Protocolo de puertas de enlace de límite interlocutores con los que tiene sesiones, enviándoles periódicamente mensajes de mantenimiento de conexión para verificar las conexiones. Para conseguir una entrega fiable de la información, se hace uso de una sesión de comunicación basada en TCP en el puerto número 179. Esta sesión debe mantenerse conectada debido a que ambos extremos de la comunicación periódicamente se intercambian y actualizan información. De modo que al principio, cada router envía al vecino toda su información de encaminamiento y después únicamente se enviarán las nuevas rutas, las actualizaciones o la eliminación de rutas transmitidas con anterioridad. Además periódicamente se envían mensajes para garantizar la conectividad. Cuando una conexión TCP se interrumpe por alguna razón, cada extremo de la comunicación está obligado a dejar de utilizar la información que ha aprendido por el otro lado. En otras palabras, la sesión TCP sirve como un enlace virtual entre dos sistemas autónomos vecinos, y la falta de medios de comunicación indica que el enlace virtual se ha caído. TIPOS DE MENSAJES Existen cuatro tipos de mensajes BGP: o OPEN: se utiliza para el establecimiento de una sesión BGP establecida la conexión TCP. Se suelen negociar ciertos parámetros que caractericen a esa sesión. Por ejemplo es muy posible que los miembros de la sesión no tengan la misma versión de BGP por lo que es importante indicar el número de versión en este mensaje. o UPDATE: Es un mensaje de actualización, es un mensaje clave en las operaciones de BGP ya que contiene los anuncios de nuevos prefijos. Se generarán mensajes de actualización cada vez que se determine una nueva mejor ruta para cierto destino o haya una modificación sobre alguna existente. o KEEPALIVE: Una vez que la sesión BGP está activa se envía periódicamente un mensaje KEEPALIVE para confirmar que el otro extremo sigue estando activo en la sesión BGP. Los mensajes KEEPALIVE no se deben generar si el tiempo de espera es cero ya que en ese caso se entiende que la sesión es completamente fiable. 4 o NOTIFICATION: Se envía al cerrar una sesión BGP y esto sucede cuando ocurre algún error que requiera el cierre de la misma. De modo que es un mensaje que permite informar nada.
  6. 6. ATRIBUTOS DE RUTA La ingeniería de tráfico en BGP es el modo en que se gestiona la red a partir de los atributos con los que cuenta dicho protocolo para satisfacer determinadas características o imposiciones de un escenario BGP. Para ello se cuenta con un conjunto de atributos que dan información para la toma de decisión para filtrar o seleccionar rutas. Este grupo de parámetros describen las características de una ruta. El protocolo BGP empareja los atributos con la ruta que describen y, a continuación, compara todas las rutas disponibles para un destino para así seleccionar la mejor ruta de acceso a ese destino. o ORIGIN: Identifica el mecanismo por el cual se anunció el prefijo IP por primera vez, es decir el origen de la ruta. Se puede especificar como IGP (0), EGP(1) o INCOMPLETE(2). IGP indica que el prefijo IP se aprendió por un protocolo interior al sistema autónomo como por ejemplo OSFP. EGP indica que el prefijo IP se aprendió por un protocolo exterior como podría ser BGP, por ejemplo puede ser debido a que se ha realizado agregación. Generalmente si el ORIGIN es INCOMPLETE es porque se ha aprendido de forma estática. o AS-PATH: Este atributo almacena una secuencia de números de AS que identifican la ruta de ASs por los que ha pasado el anuncio. Cada vez que un router de borde propaga una ruta hacia otro lado añade a este atributo su número de AS constituyendo así la lista de ASs que se pretendía tener. La lista permanece intacta si no se sale del sistema autónomo. o NEXT-HOP: Identifica la dirección IP del router correspondiente al siguiente salto hacia el destino, es decir, es la dirección IP del enrutador al que se envía tráfico para la ruta. Se debe tener en cuenta que un prefijo IP se anuncia fuera de un sistema autónomo, por lo que el next-hop es el destino que se conoce y al que hay que enviar el tráfico de los usuarios que quieran llegar a un destino final. La información del NEXT-HOP se procesa con los datos de tabla de encaminamiento IP. Ahora se contará con una tabla IP (con la que ya se contaba anteriormente) y con una tabla BGP que contendrá el NEXT-HOP para cada destino. Se obtendrá una ruta hacia el destino BGP pasando por los saltos que indique la tabla de encaminamiento IP. Si se quisiera seleccionar una ruta por este atributo se seleccionaría la que suponga menor coste hacia el NEXT-HOP, es decir, menor número de saltos hacia el NEXT-HOP. Protocolo de puertas de enlace de límite Se definen a continuación dichos atributos: 5
  7. 7. Los atributos de ruta opcionales son: Protocolo de puertas de enlace de límite o MULTI-EXIT-DISCRIMINATOR (MED): Es un indicador diseñado para ser utilizado cuando desde un sistema autónomo existen múltiples enlaces hacia un mismo sistema autónomo. (un AS configura el MED y otro AS lo utiliza para elegir una ruta). Se puede observar más fácilmente en la siguiente ilustración 1. I LUSTRACIÓN 1 o LOCAL-PREF: Este atributo es útil en un escenario en el que un sistema autónomo tiene conectividad con múltiples sistemas autónomos, de manera que pueda haber múltiples rutas hacia un mismo destino. Es una métrica utilizada para informar a los interlocutores BGP de las preferencias del enrutador local para elegir una ruta. Se escogerá el envío de datos por el enlace que tenga un LOCAL-PREF más alto, siendo el LOCAL-PREF por defecto de valor 100. o ATOMIC-AGGREGATE: Informa a los interlocutores BGP de que el enrutador local seleccionó una ruta menos específica de un conjunto de rutas superpuestas recibidas de un interlocutor. o AGGREGATOR especifica el AS y el enrutador que realizaron la agregación de la ruta. 6 o COMMUNITY: Se puede gestionar la distribución de información de ruteo a un grupo de destinatarios llamados COMMUNITIES. La idea es que una vez sustrito a un grupo de destinatarios se les pueda aplicar una política de ruteo concreta. De ese modo se simplifica el trabajo agregando información de ruteo así como se proporciona una herramienta para tener un entorno más vigilado en la red. Se consigue mediante un número que actúa como
  8. 8. una etiqueta que califica a la ruta. En resumen, especifica una o varias comunidades a las que pertenece la ruta. o CLUSTER LIST: contiene una lista de los clústeres de reflexión a través de los cuales ha pasado la ruta. BGP EXTERNO E INTERNO El objetivo principal de IBGP es distribuir los enrutadores reconocidos por EBGP en los enrutadores del AS. Un enrutador IBGP puede notificar a sus interlocutores IBGP rutas reconocidas por sus interlocutores EBGP, pero no puede notificar rutas reconocidas por sus interlocutores IBGP a otros interlocutores IBGP. Esta restricción impide que se formen bucles de notificación de ruta dentro de la red, pero también implica que una red IBGP debe estar absolutamente mallada (es decir, cada enrutador BGP de la red debe tener una sesión con cada uno de los otros enrutadores de la red). Algunos atributos de ruta sólo son aplicables a EBGP o a IBGP. Por ejemplo, el atributo MED sólo se utiliza en mensajes EBGP, mientras que el atributo LOCALPREF sólo está presente en mensajes IBGP. Protocolo de puertas de enlace de límite Existen dos formas de proceder cuando se cuenta con un escenario en el que implantar BGP. Se debe distinguir entre External BGP (EBGP) e Internal BGP (IBGP). EBGP hace referencia al intercambio de información entre sistemas autónomos por ejemplo, cuando distintas redes ISP se conectan entre sí o una red empresarial se conecta a una red ISP. Sin embargo IBGP hace referencia al intercambio de información dentro de un sistema autónomo, por ejemplo, una red de una empresa CONFIGURACION BASICA DE BGP En un dispositivo de seguridad, cada instancia BGP se crea individualmente por cada enrutador virtual (VR). Si dispone de varios VR en un dispositivo, podrá habilitar múltiples instancias de BGP, una por cada enrutador virtual. Antes de configurar un protocolo de enrutamiento dinámico en el dispositivo de seguridad, deberá asignar una ID de enrutador virtual. Esta sección describe cómo realizar cada una de estas tareas utilizando CLI o WebUI para el siguiente ejemplo. La Figura 2.1 muestra el dispositivo de seguridad como 7
  9. 9. un interlocutor BGP en AS 65000. Tiene que configurar el dispositivo de seguridad para que pueda establecer una sesión BGP con el interlocutor en AS 65500. Protocolo de puertas de enlace de límite I LUSTRACIÓN 2 Los pasos básicos para configurar BGP en un VR en un dispositivo de seguridad son: CREACIÓN Y HABILITACIÓN DE UNA INSTANCIA DE BGP Cada instancia de enrutamiento de BGP se crea y se habilita en un enrutador virtual (VR) específico ubicado en un dispositivo de seguridad. Para crear una instancia de enrutamiento BGP, primero se debe especificar el número de sistema autónomo en el que se encuentra el VR. Si el enrutador virtual es un enrutador IBGP, el número de sistema autónomo será el mismo que el de otros enrutadores IBGP de la red. Cuando se habilita la instancia de enrutamiento BGP en un VR, la instancia de enrutamiento BGP será capaz de establecer contacto e iniciar una sesión con los interlocutores BGP que configure. NOTA: Los números de sistemas autónomos (AS) son números únicos a nivel global que se utilizan para intercambiar información de enrutamiento EBGP y para identificar el sistema autónomo. Las siguientes entidades asignan números de AS: American Registry for Internet Numbers (ARIN), Réseaux IP Européens (RIPE) y Asia Pacific Network Information Center (APNIC). Los números 64512 a 65535 son 8 de uso privado y no para su notificación global en Internet.
  10. 10. CREACIÓN DE UNA INSTANCIA BGP En el siguiente ejemplo, en primer lugar asignará 0.0.0.10 como ID de enrutador a trust-vr. A continuación creará y habilitará una instancia de enrutamiento BGP en el trust-vr, que se encuentra en el dispositivo de seguridad en AS 65000. WebUI ID de enrutador Network > Routing > Virtual Router (trust-vr) > Edit: Introduzca los siguientes datos y haga clic en OK: Instancia de enrutamiento de BGP Network > Routing > Virtual Routers > Edit (para trust-vr) > Create BGP Instance: Introduzca los siguientes datos y haga clic en OK: AS Number (obligatorio): 65000 BGP Enabled: (seleccione) CLI ID de enrutador set vrouter trust-vr router-id 10 Instancia de enrutamiento de BGP set vrouter trust-vr protocol bgp 65000 set vrouter trust-vr protocol bgp enable save Protocolo de puertas de enlace de límite Virtual Router ID: Custom (seleccione) In the text box, enter 0.0.0.10 ELIMINACIÓN DE UNA INSTANCIA DE BGP En este ejemplo inhabilitará y eliminará la instancia de enrutamiento de BGP en el enrutador trust-vr. BGP detendrá todas las sesiones con los interlocutores WebUI Network > Routing > Virtual Routers (trust-vr) > Edit > Edit BGP Instance: Anule la selección de BGP Enabled y haga clic en OK. Network > Routing > Virtual Routers (trust-vr) > Edit: Seleccione Delete BGP Instance, luego haga clic en OK cuando aparezca el mensaje de confirmación. CLI unset vrouter trust-vr protocol bgp enable unset vrouter trust-vr protocol bgp 65000 save 9
  11. 11. HABILITACIÓN E INHABILITACIÓN DE BGP EN INTERFACES Es necesario habilitar BGP en la interfaz donde resida el interlocutor. (De forma predeterminada, las interfaces del dispositivo de seguridad no están asociadas a ningún protocolo de enrutamiento). Habilitación de BGP en interfaces En este ejemplo habilitará BGP en la interfaz ethernet4 WebUI Protocolo de puertas de enlace de límite Network > Interfaces > Edit> BGP: Marque la opción Protocol BGP enable, y luego haga clic en OK. CLI set interface ethernet4 protocol bgp save INHABILITACIÓN DE BGP EN INTERFACES En este ejemplo inhabilitará BGP en la interfaz ethernet4. En las demás interfaces en las que haya habilitado BGP podrán continuar transmitiendo y procesando paquetes BGP. WebUI Network > Interfaces > Configure (para ethernet4): Elimine la marca de la opción Protocol BGP enable, y luego haga clic en OK. CLI unset interface ethernet4 protocol bgp save CONFIGURACIÓN DE GRUPOS DE INTERLOCUTORES E INTERLOCUTORES BGP 10 Antes de que dos dispositivos BGP puedan comunicarse e intercambiar rutas, necesitan identificarse mutuamente para poder iniciar una sesión BGP. Es necesario especificar las direcciones IP de los interlocutores BGP y, opcionalmente, configurar parámetros para establecer y mantener la sesión. Los interlocutores pueden ser interlocutores internos (IBGP) o externos (EBGP). Si se trata de un interlocutor EBGP, habrá que especificar el sistema autónomo en el que reside el interlocutor. Todas las sesiones BGP se autentican comprobando el identificador de interlocutor
  12. 12. BGP y el número de AS notificado por los interlocutores. Las conexiones correctas con un interlocutor se registran. Si surge algún problema durante la conexión con el interlocutor, el interlocutor enviará o recibirá un mensaje de notificación BGP, lo que hará que la conexión falle o se cierre. Es posible configurar parámetros para direcciones de interlocutores individuales. También se pueden asignar interlocutores a un grupo de interlocutores, lo que permitirá configurar parámetros para el grupo en su conjunto. No es posible asignar interlocutores IBGP y EBGP al mismo grupo de interlocutores. Protocolo de puertas de enlace de límite La Tabla siguiente describe parámetros que se pueden configurar para interlocutores BGP y sus valores predeterminados. Una “X” en la columna Interlocutor indica un parámetro que se puede configurar para la dirección IP de un interlocutor, mientras que una “X” en la columna Grupo de interlocutores indica un parámetro que se puede configurar para un grupo de interlocutores. 11
  13. 13. Parámetro BGP Interlocutor Grupo de Interlocutores Descripción Notifica la ruta predeterminada en el enrutador virtual a interlocutores BGP. ADVERTISE DEFAULT X ROUTE Valor predeterminado La ruta predeterminada no se notifica EBGP MULTIHOP X X Número de nodos entre el BGP local y el vecino. 0 (desactivado) Protocolo de puertas de enlace de límite Hace que la instancia de BGP descarte una conexión BGP existente con el interlocutor especificado y acepte una nueva conexión. FORCÉ CONNECT X X Este parámetro resulta de utilidad cuando hay una conexión con un enrutador que queda fuera de línea y luego vuelve a ponerse en N/A línea e intenta restablecer una conexión BGP, 116 Configuración básica de BGP ya que permite un restablecimiento más rápido de la conexión entre interlocutores HOLD TIME KEEPALIVE X X X Tiempo transcurrido sin que lleguen mensajes de un interlocutor antes de que se considere fuera de línea. X Tiempo entre transmisiones de mantenimiento de conexión (keepalive). 180 segundos 1/3 del tiempo de retención (holdtime) Sólo se comprueba el identificador de MD5 AUTHENTICATION X X Configura la autenticación MD-5. interlocutor y el número de AS 12 MED X Configura el valor de atributo MED. 0
  14. 14. NEXT-HOP SELF REFLECTOR CLIENT X X X X En las rutas enviadas al interlocutor, el atributo de ruta al salto siguiente se ajusta en la dirección IP de la interfaz del enrutador virtual local. El interlocutor es un cliente de reflexión cuando el protocolo BGP local se configura como el reflector de rutas. Atributo de salto siguiente no cambiado Ninguno Las rutas predeterminadas RETRY TIME X X de los interlocutores se agregan a la tabla de enrutamiento X Tras un intento fallido de inicio de sesión, Send community tiempo que se tarda en reintentar iniciar la sesión BGP. 120 segundos Atributo de comunidad no enviado a los interlocutores 100 SEND COMMUNITY X X Transmite el atributo de comunidad al interlocutor. WEIGHT X X Prioridad de ruta entre el BGP local y el interlocutor Protocolo de puertas de enlace de límite REJECT DEFAULT ROUTE No tiene en cuenta las notificaciones de ruta predeterminada procedentes de los interlocutores BGP. Es posible configurar algunos parámetros en el nivel de interlocutores y en el de protocolo. Por ejemplo, puede configurar el valor de tiempo de espera para un interlocutor específico con un valor de 210 segundos, mientras que el valor de tiempo de espera predeterminado en el nivel de protocolo es de 180 segundos; en tal caso, la configuración del interlocutor tendrá preferencia. Los valores MED ajustados en el nivel de protocolo y en el nivel de interlocutor pueden ser distintos; el valor MED ajustado en el nivel de interlocutor sólo se aplicará a las rutas que se notifiquen a esos interlocutores. 13
  15. 15. CONFIGURACIÓN DE UN INTERLOCUTOR BGP En el siguiente ejemplo configuraremos y habilitaremos un interlocutor BGP. Este interlocutor tiene los siguientes atributos:   Dirección IP 1.1.1.250 Reside en AS 65500 Protocolo de puertas de enlace de límite WebUI Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Neighbors: Introduzca los siguientes datos y haga clic en Add: AS Number: 65500 Remote IP: 1.1.1.250 Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Neighbors > Configure (para el interlocutor que acabe de agregar): Seleccione Peer Enabled y luego haga clic en OK. CLI set vrouter trust-vr protocol bgp neighbor 1.1.1.250 remote-as 65500 set vrouter trust-vr protocol bgp neighbor 1.1.1.250 enable save CONFIGURACIÓN DE UN GRUPO DE INTERLOCUTORES IBGP Ahora configurará un grupo de interlocutores IBGP llamado ibgp que contendrá las siguientes direcciones IP: 10.1.2.250 y 10.1.3.250. Una vez haya definido un grupo de interlocutores, podrá configurar parámetros (como la autenticación MD5) que se aplicarán a todos los miembros del grupo de interlocutores. 14
  16. 16. Deberá habilitar cada conexión de interlocutor que configure. Si configura interlocutores como parte de un grupo, tendrá que habilitar las conexiones de los interlocutores una a una. > Configure (para ibgp): En el campo Peer authentication, introduzca verify03 y haga clic en OK. Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Neighbors: Introduzca los siguientes datos y haga clic en Add: AS Number: 65000 Remote IP: 10.1.2.250 Peer Group: ibgp (seleccione) Introduzca los siguientes datos y haga clic en Add: AS Number: 65000 Remote IP: 10.1.3.250 Peer Group: ibgp (seleccione) Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Neighbors > Configure (para 10.1.2.250): Seleccione Peer Enabled y luego haga clic en OK. Protocolo de puertas de enlace de límite NOTA WebUI Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Peer Group: Escriba ibgp en el campo Group Name, luego haga clic en Add. Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Neighbors > Configure (para 10.1.3.250): Seleccione Peer Enabled y luego haga clic en OK. CLI set vrouter trust-vr protocol bgp neighbor peer-group ibgp 15
  17. 17. set vrouter trust-vr protocol bgp neighbor peer-group ibgp remote-as 65000 set vrouter trust-vr protocol bgp neighbor peer-group ibgp md5authentication verify03 set vrouter trust-vr protocol bgp neighbor 10.1.2.250 remote-as 65000 set vrouter trust-vr protocol bgp neighbor 10.1.2.250 peer-group ibgp set vrouter trust-vr protocol bgp neighbor 10.1.3.250 remote-as 65000 set vrouter trust-vr protocol bgp neighbor 10.1.3.250 peer-group ibgp set vrouter trust-vr protocol bgp neighbor 10.1.2.250 enable set vrouter trust-vr protocol bgp neighbor 10.1.3.250 enable save Protocolo de puertas de enlace de límite Comprobación de la configuración BGP Puede revisar la configuración introducida a través de WebUI o CLI ejecutando el comando get vrouter enrut_virtual protocol bgp config device-> get vrouter trust-vr protocol bgp config set protocol bgp 65000 set enable set neighbor peer-group "ibgp" set neighbor peer-group "ibgp" md5-authentication "cq1tu6gVNU5gvfsO60CsvxVPNnntO PwY/g==" set neighbor 10.1.2.250 remote-as 65000 output continues... exit Para comprobar si BGP se está ejecutando en el enrutador virtual, ejecute el comando get vrouter enrut_virtual protocol bgp . 16 device-> get vrouter trust-vr protocol bgp Admin State: habilitar Local Router ID: 10.1.1.250 Local AS number: 65000 Hold time: 180 Keepalive interval: 60 = 1/3 hold time, default Local MED is: 0 Always compare MED: disable Local preference: 100 Route Flap Damping: disable IGP synchronization: disable
  18. 18. Route reflector: disable Cluster ID: not set (ID = 0) Confederation based on RFC 1965 Confederation (confederación): disable (confederation ID = 0) Member AS: none Origin default route: disable Ignore default route: disable device-> get vrouter trust-vr protocol bgp neighbor Peer AS Remote IP Local IP Wt Status State ConnID 65500 1.1.1.250 0.0.0.0 100 Enabled ACTIVE up Total 1 BGP peers shown En este ejemplo puede verificar si el interlocutor BGP está habilitado y si la sesión está activa. El estado puede ser uno de los que aquí se indican:  Idle: primer estado de la conexión.  Connect: BGP está esperando una conexión de transporte TCP correcta.  Active: BGP está iniciando una conexión de transporte.  OpenSent: BGP está esperando un mensaje de apertura (OPEN) del interlocutor.  OpenConfirm: BGP está esperando un mensaje de mantenimiento de conexión (KEEPALIVE) o notificación (NOTIFICATION) del interlocutor.  Established: BGP está intercambiado paquetes de actualización (UPDATE) con el interlocutor. Protocolo de puertas de enlace de límite Puede visualizar el estado administrativo del enrutador virtual (VR) y de la identificación del enrutador, así como todos los demás parámetros configurados relativos al BGP. Para comprobar si un interlocutor o grupo de interlocutores BGP está habilitado y Ver el estado de la sesión BGP, ejecute el comando get vrouter enrut_virtual protocol bgp neighbor. 17
  19. 19. CONFIGURACIÓN DE SEGURIDAD El aspecto de la seguridad en BGP es fundamental debido a que BGP mantiene el encaminamiento en la infraestructura de Internet. De BGP depende que cuando un host envíe un paquete a otro host situado en un sistema autónomo diferente, éste llegue correctamente a su destino debido a continuación desarrollaremos los posibles problemas de seguridad en el dominio de enrutamiento BGP y ciertos métodos de prevención de ataques. VULNERABILIDADES DE BGP Protocolo de puertas de enlace de límite Falta de verificación de integridad en las rutas recibidas. 18 Envío de información encaminamiento en texto claro. VULNERABILIDADES DE BGP de Mal manejo en el control de encaminamiento que puede producir negación de servicios. No se autentica el origen de las rutas. Los ataques de suplantación de prefijos, sistemas autónomos o routers pueden realizarse con relativa facilidad y tener repercusiones a nivel de Internet. Falta de control temporal de los mensajes BGP. Sin este control, un atacante situado entre dos routers BGP vecinos podría capturar tráfico BGP (un mensaje UPDATE que elimine cierta ruta por ejemplo) y reproducirlo en un instante futuro.
  20. 20. MEDIDAS DE SEGURIDAD Mostraremos una visión general de las medidas a tomar para garantizar la seguridad de BGP. Luego detallaremos algunas de estas medidas. Control de acceso para evitar información no autorizada (spoofing). Esto se lleva a cabo mediante filtros de entrada que evitan que redes no autorizadas ingresen en un sistema autónomo. Medidas de seguridad Autenticación, para verificar el origen de la información anunciada mediante algoritmos de firma digital (DSS). Integridad para verificar que la información no ha sido alterada, para lo cual se utilizan funciones hash (MD5, SHA). Protocolo de puertas de enlace de límite Proteger los mensajes de actualización (updates): Un mensaje de actualización erróneo o falsificado provocaría la elección equivocada de rutas Confidencialidad de los mensajes de actualización (updates) para evitar el monitoreo por un intruso no autorizado. 19
  21. 21. AUTENTICACIÓN DE VECINOS BGP Los enrutadores BGP puede ser fácilmente copiado o decifrado porque los paquetes BGP no se encriptan, esto quiere decir que al convertir un texto normal en un texto codificado de forma que las personas que no conozcan el código sean incapaces de leerlo, y la mayoría de los analizadores de protocolo permiten descifrar paquetes BGP. Para acabar con este riesgo que implica la suplantación de enrutadores debemos autenticar los interlocutores BGP Los enrutadores BGP ofrecen autenticación MD5 para validar los paquetes BGP recibidos de un interlocutor. Para MD5 es necesario utilizar la misma clave para los enrutadores BGP de envío y de recepción. Protocolo de puertas de enlace de límite RECHAZO DE RUTAS PREDETERMINADAS Si alguien intenta desviar una ruta, el enrutador proporciona una ruta predeterminada en el dominio para que todos los paquetes enviados se desvien hacia el. El enrutador puede descartar los paquetes, causando una interrupción en el servicio, o puede eliminar información crítica de los paquetes antes de reenviarlos. En los dispositivos de seguridad, BGP acepta en principio cualquier ruta predeterminada enviada por interlocutores BGP y agrega la ruta predeterminada a la tabla de rutas. REDISTRIBUCIÓN DE RUTAS EN BGP El intercambio de información sobre rutas entre protocolos de enrutamiento se conoce como la redistribución de rutas protocolos de enrutamiento. Se pueden redistribuir los siguientes tipos de rutas en la instancia de enrutamiento de RIP de un mismo enrutador virtual:  Rutas reconocidas por OSPF o RIP 20
  22. 22.  Rutas conectadas directamente Protocolo de puertas de enlace de límite  Rutas importadas  Rutas configuradas estáticamente Cuando se configura la redistribución de rutas, primero se debe especificar un mapa de rutas para filtrar las rutas que se vayan a redistribuir. Para obtener más información sobre la creación de mapas de rutas para la redistribución. CONFIGURACIÓN DE UNA LISTA DE ACCESO AS-PATH AS-Path,Este atributo almacena una secuencia de números de AS que identifican la ruta de ASs por los que ha pasado el anuncio. Cada vez que un router de borde propaga una ruta hacia otro lado añade a este atributo su número de AS constituyendo así la lista de ASs que se pretendía tener. La lista permanece intacta si se usa IBGP, es decir, si no se sale del sistema autónomo. Si se quisiera utilizar el AS-PATH como método de selección de rutas se escogería el que tuviera una lista 21
  23. 23. AS-PATH más pequeña. Esto es una forma de medir que haya menos saltos hacia el destino aunque no es exactamente así porque no se tienen en cuenta los posibles saltos debidos a los routers dentro de un sistema autónomo. Un ejemplo de ese tipo de configuración es cuando utilizmos una lista de acceso ASpath para filtrar rutas que han pasado por un AS determinado o rutas que proceden de un AS. Protocolo de puertas de enlace de límite AGREGAR RUTAS A BGP Para permitir que el BGP anuncie las rutas de red, es necesario redistribuir las rutas desde el protocolo de origen al protocolo de notificación (BGP) en el mismo enrutador virtual (VR). También se pueden agragar rutas estáticas a BGP como el ejemplo a continuación: Agregar rutas estáticas para nuestro prefijo apuntando hacia null, para el loopback de iBGP. Además hay que agregar rutas estáticas para los prefijos más específicos que se requieran ip route 128.223.0.0 255.255.224.0 Null 0 ip route 128.223.253.23 255.255.255.255 192.168.50.2 ip route 128.223.175.0 255.255.255.0 192.168.50.5 ip route 128.223.140.128 255.255.255.128 192.168.50.8 Debemos restringir quien se conecta al puerto 179 (BGP). Solo permitiremos las conexiones desde nuestros peers. Cualquier otro intento será registrado en los logs. Este ACL debe ser aplicado a las interfaces externas o este segmento deberá ser agregado a un ACL existente 22 ip access-list extended inbound-filter permit tcp any any established deny ip 128.223.0.0 0.0.255.255 any deny ip 127.0.0.0 0.255.255.255 any deny ip 0.0.0.0 0.255.255.255 any deny ip 10.0.0.0 0.255.255.255 any deny ip 172.16.0.0 0.15.255.255 any deny ip 192.168.0.0 0.0.255.255 any deny ip 169.254.0.0 0.0.255.255 any deny ip 192.0.2.0 0.0.0.255 any
  24. 24. permit tcp host 198.32.163.2 host 198.32.163.1 eq 179 permit tcp host 198.32.163.2 eq bgp host 198.32.163.1 deny tcp any host 198.32.163.1 eq 179 Por lo menos queremos un registro de los intentos de conexión. También podríamos bloquearlo por completo :permit tcp any any eq 179 log CAPACIDAD DE ROUTE-REFRESH   Un restablecimiento abrupto es perjudicial porque las sesiones BGP activas se interrumpen y se mueven a recuperar. Un restablecimiento suave permite que se aplique una directiva nueva o modificada sin borrar una sesión BGP activa. La característica de route-refresh permite que se realice un restablecimiento suave por vecino y no requiere configuración previa o memoria adicional.   Los restablecimientos suaves entrantes y dinámicos se realizan para generar actualizaciones entrantes de un vecino. Un restablecimiento suave saliente se utiliza para enviar un nuevo conjunto de actualizaciones a un vecino. Los restablecimientos salientes no requieren configuración previa o almacenamiento de las actualizaciones de la tabla de enrutamiento. Protocolo de puertas de enlace de límite Route-refresh de BGP ofrece un mecanismo de restablecimiento suave que permite el intercambio dinámico de información sobre enrutamiento y solicitudes de actualización de rutas entre los interlocutores de BGP y la nueva notificación de la tabla de enrutamiento entrante y saliente. El enrutamiento y actualización requiere que los interlocutores BGP notifiquen que admiten la función de route-refresh en el mensaje de apertura OPEN. Si este método de route –refresh se negocia satisfactoriamente, cualquier interlocutor BGP puede utilizar la característica de route-refresh para solicitar información completa sobre el enrutamiento desde el otro extremo. Solicitud de una actualización de la tabla de enrutamiento entrante. Usted solita que se envíe la tabla de enrutamiento entrante del interlocutor vecino al trust-vr del interlocutor BGP local, utilizando el comando soft-int. 23
  25. 25. Solicitud de una actualización de la tabla de enrutamiento saliente. En este caso usted envía la tabla de enrutamiento para trust-vr a través de las actualizaciones del interlocutor BGP local al interlocutor vecino, utilizando el comando soft-out. CONFIGURACIÓN DE LA REFLEXIÓN DE RUTAS Protocolo de puertas de enlace de límite Debido a que el enrutador IBGP no puede notificar rutas reconocidas por un interlocutor IBGP a otro interlocutor IBGP, entonces es necesaria una malla completa de sesiones IBGP, donde cada enrutador es un AS, BGP será un interlocutor de los demás enrutadores BGP. 24 Una malla completa implica que cada enrutador tiene que ser capaz de establecer y mantener una sesión IBGP con cada una de los demás enrutadores. La reflexión de rutas es un método para solucionar el problema de escalabilidad IBGP. Un reflector de ruta es un enrutador que entrega rutas reconocidas por IGBP a los vecinos IGBP (clientes). El reflector de rutas y sus clientes forman un clúster, que se puede identificar por medio de una ID se clúster. Los enrutadores situados fuera de este clúster una única identidad, en lugar de comunicarse de forma independiente. De esta forma se
  26. 26. reduce la carga de procesamiento, los clientes intercambian rutas con el reflector, mientras que esta refleja ruta entre clientes. El enrutador virtual local del dispositivo de seguridad puede actuar como un reflector de rutas y se le puede asignar una identificación de clúster. La ID de clúster contribuye a evitar la formación de bucles. Después de configurar un reflector de rutas en el enrutador virtual local, se definen los clientes del reflector .Es posible especificar direcciones IP individuales a un grupo de interlocutores para los clientes. Una confederación divide un sistema autónomo en varios AS mas pequeños, con cada subsistema autónomo funcionando como una red IBGP de malla completa. Cualquier enrutador ubicado fuera de la conferencia vera la confederación completa como un único sistema autónomo con un solo identificador. Protocolo de puertas de enlace de límite CONFIGURAR UNA CONFEDERACIÓN Las sesiones entre enrutadores en dos subsistemas distintos de la misma confederación, conocidas como sesiones EBGP, no son mas que sesiones EBGP entre sistemas autónomos. Datos a tener en cuenta por cada enrutador de una confederación: o o o o El número de subsistema autónomo La confederación a la que pertenece el subsistema autónomo. Los números de los otros subsistemas de la confederación. Si la confederación admite normas RFC 1965 o RFC 3065. 25
  27. 27. Protocolo de puertas de enlace de límite Para este caso la confederación seria: RTC# router bgp 50 bgp confederation identifier 500 bgp confederation peers 60 70 neighbor 128.213.10.1 remote-as 50 (conexión iBGP en el AS50) neighbor 128.213.20.1 remote-as 50 (conexión iBGP en el AS50) neighbor 129.210.11.1 remote-as 60 (conexión BGP con peer de confederación 60) neighbor 135.212.14.1 remote-as 70 (conexión BGP con peer de confederación 70) neighbor 5.5.5.5 remote-as 100 (conexión eBGP con el AS100 externo) COMUNIDADES BGP 26 Un enrutador BGP puede agregar comunidades o modificar comunidades de una ruta. Este atributo ofrece una técnica alternativa para distribuir información de rutas de acuerdo con los prefijos de direcciones IP o el atributo AS-path. Su principal objetivo es simplificar la configuración de directivas de enrutamiento en entorno de redes completos. La norma RFC 1997 describe el funcionamiento de las comunidades BGP.
  28. 28. Tipos de comunidades:  Comunidad específica, está formada por un identificador de AS y un identificador de comunidad.  Comunidad bien conocida implica un manejo especial de rutas que contienen esos valores de comunidad. Valores de comunidad que se pueden especificar para las rutas BGP en el dispositivo de seguridad: Agregación de rutas: Técnica para resumir rangos de direcciones de enrutamiento en una sola entrada de ruta. Agregación de rutas con diferentes AS-Paths Al configurar una ruta agregada, puede especificar que el campo AS-Set del atributo de ruta AS-Path de BGP incluya las rutas AS de todas las rutas contribuyentes. Protocolo de puertas de enlace de límite  No-export: las rutas con este atributo de ruta communities no se notifican fuera de una confederación BGP  No-advertise: las rutas con este atributo de ruta communities no se notifican a otros interlocutores BGP.  No-export-subconfed: las rutas con este atributo de ruta communities no se notifican a interlocutores EBGP. Supresión de las rutas más específicas en actualizaciones. Al configurar una ruta agregada, puede especificar que las rutas más específicas (more specific) sean filtradas(excluidas) de las actualizaciones de enrutamiento. Selección de rutas para el atributo Path. Al configurar una ruta agregada, puede especificar que rutas deben o no deben ser utilizadas para construir el atributo de ruta AS- Path del BGP de la ruta agregada. Cambiar atributos de una ruta agregada: Al configurar una ruta agregada, puede establecer sus atributos basándose en un mapa de ruta especificado. 27
  29. 29. Protocolo de puertas de enlace de límite Capítulo 4 CONCLUSIONES o El objetivo de la seguridad en BGP deberá ser que un ataque a un sistema autónomo o una orden de configuración no se propague al resto de Protocolo de puertas de enlace de límite Internet y se mantenga local. o la seguridad en BGP es fundamental debido a que BGP mantiene el encaminamiento en la infraestructura de Internet. o La seguridad tiene siempre un coste, aunque su implantación no debe ser excesivamente compleja puesto que no sería práctico, tiene que tener un grado aceptable de confiabilidad. o Route-refresh no requiere configuración previa o memoria adicional, ya que permite que se realice un restablecimiento suave por vecino. o Una confederación divide un sistema autónomo en varios sistemas autonomos más pequeños, con cada subsistema autónomo funcionando como una red IBGP de malla completa. o La reflexión de rutas es un método para solucionar el problema de escalabilidad IBGP. Un reflector de ruta es un enrutador que entrega rutas reconocidas por IGBP a los vecinos IGBP. 28
  30. 30. Protocolo de puertas de enlace de límite Capítulo 5 ANEXOS 29
  31. 31. 30 Protocolo de puertas de enlace de límite
  32. 32. 31 Protocolo de puertas de enlace de límite
  33. 33. 32 Protocolo de puertas de enlace de límite
  34. 34. 33 Protocolo de puertas de enlace de límite
  35. 35. Protocolo de puertas de enlace de límite Capítulo 6 REFERENCIAS o http://eduangi.com/2007/03/09/resumen-de-bgp/ Protocolo de puertas de enlace de límite o Border Gateway Protocol-- Wikipedia, la enciclopedia libre 34 o http://bibing.us.es/proyectos/abreproy/11359/fichero/BGP%252F10. +Seguridad+en+BGP.pdf o Seguridad En Bgp, Ataques Al Protocolo Y Fallos De ConfiguraciónESCUELA TÉCNICA SUPERIOR DE INGENIERÍA (ICAI) - INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN

×