BGP vulnerabilities

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
Awatar użytkownika
polak
wannabe
wannabe
Posty: 294
Rejestracja: 20 mar 2005, 14:23
Lokalizacja: Bruksela

BGP vulnerabilities

#1

#1 Post autor: polak »

Hej
Mam pytanie jak skutecznie ochronić się przed podatnością opisana w poniższym artykule ?
https://thehackernews.com/2023/05/resea ... ws-in.html

Dzięki
polak
King Kong ain't got shit on me!

Awatar użytkownika
peper
CCIE / Site Admin
CCIE / Site Admin
Posty: 5005
Rejestracja: 13 sie 2004, 12:19
Lokalizacja: Warsaw, PL
Kontakt:

Re: BGP vulnerabilities

#2

#2 Post autor: peper »

Nie używać FRR tylko postawić porządny router ;)
Tutaj należy to pytanie rozpatrzyć w kontekście platformy, na której odpalasz FRR i jakie masz na niech możliwości zabezpieczenie, jak i od architektury sieci. Najłatwiej to zainstalować FRR w wersji z odpowiednimi łatkami, bo w ty przypadku problem leży bezpośrednio w implementacji procesu zestawiania połączenia. Inne rozwiązania, które co najwyżej ograniczą zasięg to ACL na filtrowanie peerów (tutaj oczywiście spoofing możliwy ale już ogranicza zasięg) do tego ewentualnie TTL Security jeżeli FRR to wspiera, ale tu też kwestia tego w jakiej kolejności implementacja FRR przetwarza pakiet OPEN. Jeżeli na ten atak są sygnatury to oczywiście IPS przed routerem pomoże.
Szkoła DevNet: https://szkoladevnet.pl


Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE

"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"

Awatar użytkownika
polak
wannabe
wannabe
Posty: 294
Rejestracja: 20 mar 2005, 14:23
Lokalizacja: Bruksela

Re: BGP vulnerabilities

#3

#3 Post autor: polak »

Dzięki za odpowiedź :)
To raczej porządny router na ios xe, niby dobrze zabezpieczony ale nie wiedziałem czy coś pomoże na spoofing.
King Kong ain't got shit on me!

Awatar użytkownika
peper
CCIE / Site Admin
CCIE / Site Admin
Posty: 5005
Rejestracja: 13 sie 2004, 12:19
Lokalizacja: Warsaw, PL
Kontakt:

Re: BGP vulnerabilities

#4

#4 Post autor: peper »

RPKI i ochrona prefiksów przede wszystkim. Na poziomie sesji to hasła/klucze i TTL Security (choć one przed samym spoofgiem nie chroni). Dodatkowo budowanie filtrów na podstawie danych zawartych w RIPE.
Szkoła DevNet: https://szkoladevnet.pl


Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE

"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"

ODPOWIEDZ