مقالات امنیت پروتکل های مسیریابی

امنیت پروتکل‌های مسیریابی BGP و EGP در شبکه‌های سیسکو

برای تأمین امنیت پروتکل‌های مسیریابی BGP و EGP در شبکه‌های سیسکو، می‌توان از چندین رویکرد و مکانیزم استفاده کرد. این موارد شامل استفاده از احراز هویت، فیلتر کردن مسیرها و جلوگیری از حملات مانند حملات "Route Hijacking" و "Man-in-the-Middle" می‌شود.

موارد امنیتی BGP:

• احراز هویت BGP: استفاده از MD5 یا SHA برای تضمین امنیت بین همسایگان.
• فیلتر مسیرها: اعمال لیست دسترسی یا prefix-list برای محدود کردن تبلیغ مسیرها.
• TTL Security: استفاده از TTL برای محدود کردن همسایگان BGP به دستگاه‌های نزدیک.
• Route Dampening: جلوگیری از بی‌ثباتی مسیر با استفاده از Route Dampening.
• Maximum Prefix: محدود کردن تعداد مسیرهایی که یک همسایه BGP می‌تواند تبلیغ کند.

موارد امنیتی EGP (به عنوان مثال OSPF):

• احراز هویت OSPF: استفاده از احراز هویت برای برقراری ارتباط بین روترهای همسایه.
• فیلتر کردن آگهی‌ها: محدود کردن آگهی‌های مسیر به مناطق مشخص.
• Passive Interface: غیر فعال کردن ارسال OSPF بر روی اینترفیس‌های خاص.
• Route Filtering: فیلتر کردن مسیرها برای جلوگیری از تزریق نادرست مسیرها.

مثال تنظیمات امنیتی BGP:

Router> enable
Router# configure terminal
Router(config)# router bgp 65001
Router(config-router)# neighbor 192.168.1.2 remote-as 65002
Router(config-router)# neighbor 192.168.1.2 password MY_SECRET_PASSWORD
Router(config-router)# neighbor 192.168.1.2 ttl-security hops 2
Router(config-router)# neighbor 192.168.1.2 maximum-prefix 100
Router(config)# ip prefix-list BGP_FILTER seq 5 permit 10.0.0.0/8 le 24
Router(config)# route-map BGP-IN permit 10
Router(config-route-map)# match ip address prefix-list BGP_FILTER
Router(config-router)# neighbor 192.168.1.2 route-map BGP-IN in
Router(config-router)# end

در این فرآیند، ابتدا به محیط enable و سپس به configure terminal وارد می‌شویم. پس از آن، تنظیمات BGP را برای AS شماره 65001 پیکربندی می‌کنیم. آدرس IP همسایه 192.168.1.2 را با استفاده از دستور neighbor و تنظیمات مربوط به AS همسایه (65002) وارد می‌کنیم. برای احراز هویت، رمز عبور MY_SECRET_PASSWORD را تعیین می‌کنیم و همچنین از TTL برای امنیت بیشتر استفاده می‌کنیم و مقدار آن را بر روی 2 تنظیم می‌کنیم. در نهایت، حداکثر تعداد Prefix‌هایی که می‌توان از همسایه دریافت کرد را به 100 محدود می‌کنیم. سپس یک لیست پیشوند (prefix-list) به نام BGP_FILTER تعریف می‌کنیم که محدوده آدرس 10.0.0.0/8 را شامل می‌شود. یک route-map به نام BGP-IN تعریف می‌کنیم که این لیست پیشوند را برای اعمال فیلتر در ورودی استفاده می‌کند. در نهایت، این تنظیمات را برای همسایه 192.168.1.2 اعمال کرده و از حالت پیکربندی خارج می‌شویم.

مثال تنظیمات امنیتی OSPF:

Router> enable
Router# configure terminal
Router(config)# interface GigabitEthernet0/0
Router(config-if)# ip ospf authentication message-digest
Router(config-if)# ip ospf message-digest-key 1 md5 MY_OSPF_PASSWORD
Router(config)# router ospf 1
Router(config-router)# passive-interface default
Router(config-router)# no passive-interface GigabitEthernet0/0
Router(config)# access-list 10 deny 192.168.0.0 0.0.255.255
Router(config)# access-list 10 permit any
Router(config)# route-map OSPF-FILTER permit 10
Router(config-route-map)# match ip address 10
Router(config-route-map)# end

این مثال‌ها شامل تنظیمات اولیه برای بهبود امنیت در پروتکل‌های BGP و EGP (مثل OSPF) است.

در این فرآیند، ابتدا به محیط enable و سپس به configure terminal وارد می‌شویم. بعد از آن، تنظیمات OSPF را برای اینترفیس GigabitEthernet0/0 پیکربندی می‌کنیم. احراز هویت OSPF را با استفاده از message-digest و رمز عبور MY_OSPF_PASSWORD با الگوریتم MD5 فعال می‌کنیم. سپس وارد پیکربندی router ospf 1 می‌شویم و تنظیمات passive-interface default را برای غیرفعال کردن ارسال OSPF روی همه اینترفیس‌ها انجام می‌دهیم. در ادامه، با استفاده از دستور no passive-interface GigabitEthernet0/0 اینترفیس GigabitEthernet0/0 را از حالت passive خارج می‌کنیم. سپس یک access-list به شماره 10 تعریف می‌کنیم که دسترسی به شبکه 192.168.0.0/16 را محدود می‌کند و به بقیه دسترسی را مجاز می‌کند. در نهایت، یک route-map به نام OSPF-FILTER ایجاد می‌کنیم که این access-list را برای فیلتر کردن آگهی‌ها استفاده می‌کند و تنظیمات را اعمال کرده و از حالت پیکربندی خارج می‌شویم.

تنظیمات پیشرفته و احراز هویت در پروتکل‌های مسیریابی BGP و OSPF

برای تنظیمات پیشرفته‌تر و احراز هویت در پروتکل‌های مسیریابی مانند BGP و OSPF، روش‌هایی مانند احراز هویت با الگوریتم‌های قوی‌تر (SHA)، کنترل ترافیک بر روی اینترفیس‌ها، و استفاده از مکانیسم‌های خاص سیسکو برای جلوگیری از حملات مطرح می‌شود. در این بخش به تنظیمات پیشرفته برای BGP و OSPF و تنظیم احراز هویت برای اینترفیس‌ها پرداخته خواهد شد.

موارد پیشرفته برای BGP:

• احراز هویت پیشرفته: علاوه بر MD5، از SHA برای احراز هویت استفاده می‌شود که امنیت بیشتری نسبت به MD5 دارد.
• BGP Session Protection: استفاده از ویژگی‌های TTL Security و Control Plane Policing (CoPP) برای محدود کردن مسیریاب‌های همسایه.
• Monitoring and Logging: استفاده از SNMP و logging برای نظارت بر فعالیت‌های مشکوک و ثبت رویدادها.
• Prefix Filtering and Route-map: اعمال محدودیت‌های پیچیده‌تر بر روی مسیرها برای فیلتر کردن دقیق‌تر.
• BGP Peer Groups: استفاده از Peer Group برای مدیریت بهتر همسایگان و اعمال سیاست‌های یکسان.

موارد پیشرفته برای OSPF:

• احراز هویت پیشرفته OSPF: استفاده از SHA به جای MD5.
• OSPF Area Filtering: فیلتر کردن دقیق‌تر مسیرها بین مناطق مختلف OSPF.
• SPF Throttling: تنظیم فرآیند محاسبه SPF برای جلوگیری از بی‌ثباتی‌های ناگهانی.
• OSPF Authentication per Interface: تنظیمات دقیق احراز هویت برای هر اینترفیس.
• Max-LSA Protection: محدود کردن تعداد LSAs (Link-State Advertisements) برای جلوگیری از حملات DOS در OSPF.

احراز هویت پیشرفته و تنظیمات اینترفیس در BGP:

در BGP می‌توان از الگوریتم‌های پیشرفته‌تری مانند SHA-256 برای احراز هویت استفاده کرد و با تنظیمات پیشرفته اینترفیس‌ها، امنیت ارتباط بین روترها را تضمین کرد.

Router> enable
Router# configure terminal
Router(config)# router bgp 65001
Router(config-router)# neighbor 192.168.1.2 remote-as 65002
Router(config-router)# neighbor 192.168.1.2 password 7 SHA256_SECRET
Router(config-router)# neighbor PEERS peer-group
Router(config-router)# neighbor PEERS remote-as 65002
Router(config-router)# neighbor 192.168.1.3 peer-group PEERS
Router(config-router)# neighbor 192.168.1.4 peer-group PEERS
Router(config)# ip prefix-list SECURE_BGP_FILTER seq 5 permit 192.168.0.0/16 ge 17 le 24
Router(config)# route-map SECURE_BGP_IN permit 10
Router(config-route-map)# match ip address prefix-list SECURE_BGP_FILTER
Router(config-router)# neighbor 192.168.1.2 route-map SECURE_BGP_IN in
Router(config-router)# neighbor 192.168.1.2 ttl-security hops 2
Router(config-router)# end

در این فرآیند، ابتدا به محیط enable وارد شده و سپس به حالت configure terminal می‌رویم. پس از آن، تنظیمات BGP برای AS 65001 را با استفاده از دستور router bgp 65001 پیکربندی می‌کنیم. سپس همسایه‌ای با آدرس 192.168.1.2 و AS 65002 به شبکه اضافه کرده و رمز عبور SHA-256 را برای احراز هویت BGP با دستور neighbor 192.168.1.2 password 7 SHA256_SECRET تنظیم می‌کنیم. بعد از آن، برای مدیریت چندین همسایه، گروه همسایه‌ای به نام PEERS ایجاد کرده و همسایگان دیگر را به این گروه اختصاص می‌دهیم. در ادامه، یک prefix-list به نام SECURE_BGP_FILTER برای فیلتر کردن پیشرفته پیشوندهای شبکه ایجاد کرده و با دستور route-map SECURE_BGP_IN این پیشوندها را برای ورودی‌های BGP تنظیم می‌کنیم. همچنین TTL برای جلوگیری از حملات امنیتی در BGP با دستور neighbor 192.168.1.2 ttl-security hops 2 پیکربندی می‌شود. در نهایت از حالت پیکربندی خارج می‌شویم.

احراز هویت پیشرفته و تنظیمات اینترفیس در OSPF:

برای OSPF، احراز هویت در سطح هر اینترفیس و استفاده از SHA-1 یا SHA-256 برای تقویت امنیت می‌تواند به جلوگیری از حملات تزریق مسیر کمک کند.

Router> enable
Router# configure terminal
Router(config)# interface GigabitEthernet0/0
Router(config-if)# ip ospf authentication message-digest
Router(config-if)# ip ospf message-digest-key 1 sha1 OSPF_SECRET_KEY
Router(config)# router ospf 1
Router(config-router)# area 0 filter-list prefix OSPF_AREA_FILTER in
Router(config-router)# area 0 filter-list prefix OSPF_AREA_FILTER out
Router(config-router)# max-lsa 5000
Router(config-router)# timers throttle spf 50 200 1000
Router(config-router)# passive-interface default
Router(config-router)# no passive-interface GigabitEthernet0/0
Router(config-router)# end

در این فرآیند، ابتدا وارد محیط enable شده و سپس به حالت configure terminal وارد می‌شویم. سپس به پیکربندی رابط GigabitEthernet0/0 پرداخته و احراز هویت OSPF را با استفاده از ip ospf authentication message-digest و رمز عبور SHA-1 با دستور ip ospf message-digest-key 1 sha1 OSPF_SECRET_KEY تنظیم می‌کنیم. پس از آن، وارد تنظیمات OSPF برای فرآیند شماره 1 با دستور router ospf 1 می‌شویم. در این مرحله، فیلترهایی برای LSAهای ورودی و خروجی در ناحیه 0 با استفاده از دستورات area 0 filter-list prefix OSPF_AREA_FILTER in و area 0 filter-list prefix OSPF_AREA_FILTER out اعمال می‌کنیم. همچنین تعداد LSAهای مجاز را به 5000 محدود می‌کنیم و زمان‌بندی محاسبات SPF را با دستور timers throttle spf 50 200 1000 تنظیم می‌نماییم. در ادامه، برای جلوگیری از ارسال OSPF در رابط‌های غیرضروری، از دستور passive-interface default استفاده کرده و سپس رابط GigabitEthernet0/0 را به عنوان غیرپسیو با دستور no passive-interface GigabitEthernet0/0 مشخص می‌کنیم. در نهایت از حالت پیکربندی خارج می‌شویم.

توضیحات تکمیلی:

• احراز هویت SHA-256 در BGP: این نوع احراز هویت پیچیده‌تر از MD5 است و امکان حملات تزریق یا جعل مسیریابی را کاهش می‌دهد.
• Route Filtering: استفاده از prefix-list و route-map باعث می‌شود تنها مسیرهای مجاز تبلیغ و دریافت شوند، که یک لایه امنیتی اضافی است.
• TTL Security: این ویژگی BGP تضمین می‌کند که همسایه BGP تنها روترهای نزدیک هستند و روترهای دورتر قادر به حمله نخواهند بود.
• SPF Throttling در OSPF: با تنظیم فاصله زمانی بین محاسبه مجدد مسیرها، از ایجاد بی‌ثباتی در شبکه جلوگیری می‌شود.
• Max-LSA Protection: این تنظیم باعث می‌شود تعداد LSAs محدود شود و از حملات DOS که هدفشان ایجاد بار اضافی بر روی روتر است، جلوگیری کند.

این تنظیمات باعث می‌شوند پروتکل‌های مسیریابی BGP و OSPF در شبکه‌های سیسکو به شکلی پیشرفته‌تر و امن‌تر عمل کنند.

امنیت و امنیت عملیات فنی IGP, EGP, BGP

در شبکه‌های بزرگ و پیچیده، تأمین امنیت پروتکل‌های مسیریابی مانند IGP (Interior Gateway Protocol)، EGP (Exterior Gateway Protocol) و BGP (Border Gateway Protocol) از اهمیت بالایی برخوردار است. این پروتکل‌ها اساس عملکرد و ارتباطات شبکه را تعیین می‌کنند و هر گونه آسیب‌پذیری در آنها می‌تواند به نفوذ یا مشکلات امنیتی جدی منجر شود. در این مقاله، به بررسی امنیت این پروتکل‌ها و راه‌های مقابله با تهدیدات مختلف پرداخته می‌شود.

امنیت در IGP (Interior Gateway Protocol)

IGP پروتکل‌هایی هستند که درون یک سیستم خودمختار (AS) برای مسیریابی استفاده می‌شوند. معروف‌ترین این پروتکل‌ها شامل OSPF (Open Shortest Path First) و EIGRP (Enhanced Interior Gateway Routing Protocol) هستند. برای تأمین امنیت در IGP، نیاز به استفاده از روش‌های مختلف احراز هویت، فیلتر کردن مسیرها و جلوگیری از حملات وجود دارد.

• احراز هویت OSPF: OSPF از احراز هویت برای تأمین امنیت استفاده می‌کند. این احراز هویت می‌تواند به صورت MD5 یا SHA باشد. استفاده از الگوریتم‌های قوی‌تر مانند SHA امنیت بیشتری فراهم می‌کند.
• Passive Interface: برای جلوگیری از ارسال اطلاعات مسیریابی غیرضروری، از ویژگی passive-interface در OSPF و EIGRP استفاده می‌شود.
• Route Filtering: استفاده از فیلترهای مسیر برای جلوگیری از انتشار مسیرهای نادرست یا مشکوک به شبکه.

امنیت در EGP (Exterior Gateway Protocol)

EGP مانند BGP مسئول مسیریابی بین سیستم‌های خودمختار مختلف است. BGP به عنوان پروتکل اصلی EGP به دلیل اهمیت بالای آن در مسیریابی اینترنت، نیازمند تدابیر امنیتی ویژه‌ای است. این پروتکل به طور پیش‌فرض امنیت کافی ندارد و به همین دلیل باید از تکنیک‌های امنیتی متنوعی برای حفاظت در برابر حملات استفاده شود.

• احراز هویت BGP: یکی از مهم‌ترین اقدامات امنیتی در BGP استفاده از احراز هویت برای ارتباطات بین روترها است. این احراز هویت معمولاً با استفاده از MD5 یا SHA انجام می‌شود.
• Route Filtering: برای جلوگیری از حملات Route Hijacking و Prefix Injection، فیلتر کردن مسیرها ضروری است. استفاده از prefix-list و route-map برای محدود کردن مسیرهای تبلیغ شده از اهمیت ویژه‌ای برخوردار است.
• TTL Security: استفاده از TTL برای محدود کردن همسایگان BGP به دستگاه‌های نزدیک به شبکه.
• Max Prefix: برای جلوگیری از تزریق مسیرهای غیرمجاز، تعداد مسیرهایی که می‌توانند از همسایه‌ها پذیرفته شوند محدود می‌شود.

تنظیمات امنیتی BGP

در اینجا یک نمونه کد برای تنظیمات امنیتی در BGP آورده شده است:

Router> enable
Router# configure terminal
Router(config)# router bgp 65001
Router(config-router)# neighbor 192.168.1.2 remote-as 65002
Router(config-router)# neighbor 192.168.1.2 password MY_SECRET_PASSWORD
Router(config-router)# neighbor 192.168.1.2 ttl-security hops 2
Router(config-router)# neighbor 192.168.1.2 maximum-prefix 100
Router(config)# ip prefix-list BGP_FILTER seq 5 permit 10.0.0.0/8 le 24
Router(config)# route-map BGP-IN permit 10
Router(config-route-map)# match ip address prefix-list BGP_FILTER
Router(config-router)# neighbor 192.168.1.2 route-map BGP-IN in
Router(config-router)# end

در این فرآیند، ابتدا وارد محیط enable شده و سپس به حالت configure terminal وارد می‌شویم. سپس وارد پیکربندی router bgp 65001 شده و همسایه‌ای با آدرس 192.168.1.2 را با استفاده از دستور neighbor 192.168.1.2 remote-as 65002 معرفی می‌کنیم. برای تنظیم احراز هویت، از رمز عبور MY_SECRET_PASSWORD استفاده کرده و آن را با دستور neighbor 192.168.1.2 password MY_SECRET_PASSWORD مشخص می‌کنیم. همچنین برای جلوگیری از حملات و مشکلات TTL، مقدار ttl-security hops 2 را برای این همسایه تنظیم می‌کنیم. تعداد prefixهای دریافتی را با دستور neighbor 192.168.1.2 maximum-prefix 100 محدود می‌کنیم. در ادامه، یک لیست پیشوند به نام BGP_FILTER با دستور ip prefix-list BGP_FILTER seq 5 permit 10.0.0.0/8 le 24 ایجاد کرده و سپس یک route-map به نام BGP-IN برای فیلتر کردن مسیرها با استفاده از دستور route-map BGP-IN permit 10 تعریف می‌کنیم. در نهایت، route-map را به همسایه 192.168.1.2 اعمال کرده و فرآیند پیکربندی را با دستور end به پایان می‌بریم.

مکانیزم‌های جلوگیری از حملات در BGP

برای محافظت در برابر حملات مختلف مانند Route Hijacking و Man-in-the-Middle در BGP، می‌توان از مکانیزم‌های زیر استفاده کرد:

• Route Validation: با استفاده از روش‌هایی مانند RPKI (Resource Public Key Infrastructure)، می‌توان صحت مسیرهای تبلیغ شده در BGP را تأیید کرد.
• TTL Security: این مکانیزم می‌تواند به جلوگیری از حملات Man-in-the-Middle کمک کند با محدود کردن تعداد هپ‌ها (hops) که بسته‌ها می‌توانند طی کنند.

نتیجه‌گیری

امنیت پروتکل‌های مسیریابی مانند IGP، EGP و BGP از اهمیت ویژه‌ای برخوردار است و باید از ابزارها و تکنیک‌های مختلف برای مقابله با تهدیدات و حملات استفاده شود. با استفاده از احراز هویت قوی، فیلتر کردن مسیرها، و سایر تدابیر امنیتی می‌توان خطرات مرتبط با این پروتکل‌ها را به حداقل رساند.