¿Cómo securizar el protocolo BGP con CISCO?

Un tema de seguridad que probablemete preocupe a todo administrador de red es la securización de los protocolos de routing dinámico.

Gracias a estos protocolos, los nodos de las redes se intercambian dinámicamente las rutas que conocen, haciéndolas más accesibles.

Hoy hablamos de Border  Gateway Protocol (BGP), protocolo crítico en internet mediante el cual sistemas autónomos (AS) se intercambian sus tablas de encaminamiento.

El problema de seguridad se hace evidente desde el momento en que se pierde el control acerca del enrutamiento de un dispositivo, pues todo equipo comprometido de la red en el que confiemos es el candidato perfecto para inyectar rutas falsas. La inserción de rutas falsas en una red, que ha su vez son distribuidas por todos los nodos de la red, produce una caída total en poco tiempo. Por ello, aquí la seguridad va a ser importante.

Primero, hemos de establecer claramente de qué vecinos vamos a aceptar tráfico BGP. ¿De quién nos fiamos?

router bgp <identficadorBGPmiRouter>

neighbor 80.50.1.1 remote-as <identficadorBGPmiVecino>

A continuación, hemos de negociar una password con nuestro vecino, que irá cifrada, para que no cualquiera, con saber el identificador BGP de mi vecino pueda suplantarle.

neighbor 80.50.1.1 password <pwd>

Podemos fijar, cómo de lejos está este vecino, cuántos saltos han de recorrer como máximo los paquetes para aceptarlos. Esto se controla con el parámetro Time To Live (TTL):

neighbor 80.50.1.1 ttl-security hops 1

Si hemos de conocer a este vecino necesariamente por un interfaz del Router, indiquémoslo:

neighbor 80.50.1.1 update-source GigabitEthernet4

Además, supongamos que tuviéramos una inserción de rutas falsas (fake routes). ¿Por qué no limitar el número máximo de rutas que vamos a aceptar de un vecino determinado? Para que al menos podamos detectarlo antes de que caiga la red:

neighbor 80.50.1.1 maximum-prefix 200 70 restart 2

Con este comando aceptamos del vecino un máximo de 200 rutas, pero lo que es más importante, cuando se alcance el 70% de este máximo vamos a recibir un Warning en los logs.

A continuación, en el ejemplo, si se alcanzan las 200 rutas, se matará la sesión BGP y no se reconectará hasta dentro de dos minutos, teniendo que aprender de nuevo las rutas de su vecino.

A securizar!

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *