TTL Security در پروتکل مسیریابی BGP

چند وقته برروی امنیت پروتکل BGP کار میکردم . خوب با یک مکانیزم امنیتی و کامند در IOS میخواهیم آشنا شویم. دستور زیر

یک مکانیزم امنیتی بسیار سبک و راحت می باشد که session ایجاد شده بین peer های BGP را از حملات CPU-utilization محافظت می کند. درIPv4 از فیلد TTL و در  IPv6 از Hop Limit برای جلوگیری از این دسته حملات استفاده می شود. برای مثال می توان حملات DOS را نام برد که سعی می کند تا بخشی از شبکه را از کار بیندازد با پکت IP که در هدر آن Source,Destination جعلی وجود دارد. این مکانیزم امنیتی بدین صورت عمل می کند که پکت های دریافتی بایستی مقدار TTL آن مساوی و یا بزرگتر از مقدار تعیین شده توسط کانفیگ انجام شده برروی روتر باشد. وقتی پکت از فاصله یک Hop دریافت می شود مقدار TTL برابر 255 و اگر فاصله 2Hop باشد مقدار این فیلد 254 خواهد بود. در واقع در این دستور حداکثر تعداد Hop بین دو peer از eBGP را مشخص می کنیم.

این ویژگی می بایست در هر روتر درون AS کانفیگ گردد. نشست BGP تنها در برابر ترافیک Incoming محافظت می شود و تاثیری در ترافیک خروجی از روتر نخواهد داشت. وقتی این کانفیگ برروی روتر صورت گیرد BGP تنها نشست هایی را آغاز می کند و یا  Alive نگه میدارد که دارای شرایط تعیین شده در کانفیگ باشد.

اگر پکتی با مقدار TTL کمتر دریافت گردد Discard خواهد شد و پیام ICMP هم ایجاد نخواهد کرد چون پاسخ به پکت جعلی نیازی نیست. برای حداکثر تاثیر این مکانیزم می بایست به شدت مقدار hop-count را کم دهیم و درواقع دقیقا همان تعداد Hop بین شبکه داخلی و خارجی قرار دهیم.

TTL Security تنها در این پروتکل نیست بلکه میتوان آن را در OSPF هم مورد استفاده قرار داد. با استفاده از دستور زیر در مد کانفیگ اینترفیس میتوان این ویژگی را برروی آن فعال نمود:

 

البته این دستور محدودیت هایی نیز دارد:

  1. برای iBGP پشتیبانی نمی شود.
  2. برای peer هایی که بصورت ebgp-multihop کافیگ شده است نمی تواند اجرا نمود. این دو کامند با هم ناسازگار هستند و برای نشست های eBGP تنها یکی از این دو بایستی کانفیگ گردد. اگر سعی کنید این دو را باهم برروی یک peer کانفیگ کنید با پیغام خطا مواجه خواهید شد.
  3. اگر یک روتر از شبکه مورد حمله قرار گرفته باشدو در دست نفوذگر قرار گیرد، این دستور تاثیری نخواهد داشت.

در دستور زیر Hop-Count را برای یک peer که بطور مستقیم به روترمان متصل است برابر 2 قرار داده ایم دلیل آن این است که BGP تنها پکت های که مقدار TTL آن برابر و یا بزرگتر از 253 یعنی 253 و یا 254 باشد را قبول می کند و اگر به غیر از این مقدار باشند Discard خواهد شد.

خروجی زیر از کامند show ip bgp neighbors می باشد که neighbor های 10.1.1.1 را مشاهده می کنیم و همچنین TTL Security نیز برای آن فعال شده است و مقدار آن 2 است که در خط 77 میتوانید گزارشی از این مکانیزم امنیتی را ببینید.

 

برای مطالعات بیشتر هم می تونید RFC3682 رو بخونید.

 

موفق باشید.

 

AHA

قطره ای از دریای بیکران IT

More Posts

One thought on “TTL Security در پروتکل مسیریابی BGP”

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *