Hej
Mam pytanie jak skutecznie ochronić się przed podatnością opisana w poniższym artykule ?
https://thehackernews.com/2023/05/resea ... ws-in.html
Dzięki
polak
BGP vulnerabilities
BGP vulnerabilities
King Kong ain't got shit on me!
-
peper
- CCIE / Site Admin
- Posty: 5004
- Rejestracja: 13 sie 2004, 12:19
- Lokalizacja: Warsaw, PL
- Kontakt:
Re: BGP vulnerabilities
Nie używać FRR tylko postawić porządny router 
Tutaj należy to pytanie rozpatrzyć w kontekście platformy, na której odpalasz FRR i jakie masz na niech możliwości zabezpieczenie, jak i od architektury sieci. Najłatwiej to zainstalować FRR w wersji z odpowiednimi łatkami, bo w ty przypadku problem leży bezpośrednio w implementacji procesu zestawiania połączenia. Inne rozwiązania, które co najwyżej ograniczą zasięg to ACL na filtrowanie peerów (tutaj oczywiście spoofing możliwy ale już ogranicza zasięg) do tego ewentualnie TTL Security jeżeli FRR to wspiera, ale tu też kwestia tego w jakiej kolejności implementacja FRR przetwarza pakiet OPEN. Jeżeli na ten atak są sygnatury to oczywiście IPS przed routerem pomoże.
Tutaj należy to pytanie rozpatrzyć w kontekście platformy, na której odpalasz FRR i jakie masz na niech możliwości zabezpieczenie, jak i od architektury sieci. Najłatwiej to zainstalować FRR w wersji z odpowiednimi łatkami, bo w ty przypadku problem leży bezpośrednio w implementacji procesu zestawiania połączenia. Inne rozwiązania, które co najwyżej ograniczą zasięg to ACL na filtrowanie peerów (tutaj oczywiście spoofing możliwy ale już ogranicza zasięg) do tego ewentualnie TTL Security jeżeli FRR to wspiera, ale tu też kwestia tego w jakiej kolejności implementacja FRR przetwarza pakiet OPEN. Jeżeli na ten atak są sygnatury to oczywiście IPS przed routerem pomoże.
Szkoła DevNet: https://szkoladevnet.pl
Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE
"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"
Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE
"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"
Re: BGP vulnerabilities
Dzięki za odpowiedź 
To raczej porządny router na ios xe, niby dobrze zabezpieczony ale nie wiedziałem czy coś pomoże na spoofing.
To raczej porządny router na ios xe, niby dobrze zabezpieczony ale nie wiedziałem czy coś pomoże na spoofing.
King Kong ain't got shit on me!
-
peper
- CCIE / Site Admin
- Posty: 5004
- Rejestracja: 13 sie 2004, 12:19
- Lokalizacja: Warsaw, PL
- Kontakt:
Re: BGP vulnerabilities
RPKI i ochrona prefiksów przede wszystkim. Na poziomie sesji to hasła/klucze i TTL Security (choć one przed samym spoofgiem nie chroni). Dodatkowo budowanie filtrów na podstawie danych zawartych w RIPE.
Szkoła DevNet: https://szkoladevnet.pl
Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE
"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"
Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE
"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"