Linux下加强BGP路由协议安全的措施

bgp协议运行于tcp之上，因而，它也继承了tcp连接的所有漏洞。例如，在一个bgp会话内，攻击者可以冒充一个合法的bgp邻居，然后说服另一端的bgp路由器共享路由信息给攻击者。在攻击者通告并向邻居路由注入伪造的路由时，就会发生这个问题。毫无戒备的邻居路由器就会开始向攻击者发送通信实况，实际上这些信息并没有去向任何地方，仅仅只是被丢弃了。回到2008年，youtube实际上也受害于这样的bgp路由中毒，并遭受了长达一个小时的视频服务大量中断。一个更加糟糕的情况是，如果攻击者是个足够懂行的人，他们可以伪装成一台透明路由器，然后嗅探经过的通信以获取敏感数据。你可以想象，这会造成深远的影响。

要保护活跃的bgp会话不受攻击，许多服务提供商在bgp会话中使用md5校验和及预共享密钥。在受保护的bgp会话中，一台发送包的bgp路由器通过使用预共享的密钥生成md5散列值、部分ip和tcp头以及有效载荷。然后，md5散列作为一个tcp选项字段存储。在收到包后，接受路由器用同样的方法使用预共享密钥生成它的md5版本。它会将它的md5散列和接收到的某个包的值进行对比，以决定是否接受该包。对于一个攻击者而言，几乎不可能猜测到校验和或其密钥。对于bgp路由器而言，它们能在使用包的内容前确保每个包的合法性。
在本教程中，我们将为大家演示如何使用md5校验和以及预共享密钥来加固两个邻居间的bgp会话的安全。
准备

加固bgp会话安全是相当简单而直截了当的，我们会使用以下路由器。

常用的linux内核原生支持ipv4和ipv6的tcp md5选项。因此，如果你从全新的linux机器构建了一台quagga路由器，tcp的md5功能会自动启用。剩下来的事情，仅仅是配置quagga以使用它的功能。但是，如果你使用的是freebsd机器或者为quagga构建了一个自定义内核，请确保内核开启了tcp的md5支持（如，linux中的configtcpmd5sig选项）。
配置router-a验证功能

我们将使用quagga的cli shell来配置路由器，我们将使用的唯一的一个新命令是‘password’。

本例中使用的预共享密钥是‘xmodulo’。很明显，在生产环境中，你需要选择一个更健壮的密钥。

注意： 在quagga中，‘service password-encryption’命令被用做加密配置文件中所有明文密码（如，登录密码）。然而，当我使用该命令时，我注意到bgp配置中的预共享密钥仍然是明文的。我不确定这是否是quagga的限制，还是版本自身的问题。
配置router-b验证功能

我们将以类似的方式配置router-b。

验证bgp会话

如果一切配置正确，那么bgp会话就应该起来了，两台路由器应该能交换路由表。这时候，tcp会话中的所有流出包都会携带一个md5摘要的包内容和一个密钥，而摘要信息会被另一端自动验证。

我们可以像平时一样通过查看bgp的概要来验证活跃的bgp会话。md5校验和的验证在quagga内部是透明的，因此，你在bgp级别是无法看到的。

如果你想要测试bgp验证，你可以配置一个邻居路由，设置其密码为空，或者故意使用错误的预共享密钥，然后查看发生了什么。你也可以使用包嗅探器，像tcpdump或者wireshark等，来分析通过bgp会话的包。例如，带有“-m ”选项的tcpdump将验证tcp选项字段的md5摘要。
小结

在本教程中，我们演示了怎样简单地加固两台路由间的bgp会话安全。相对于其它协议而言，配置过程非常简明。强烈推荐你加固bgp会话安全，尤其是当你用另一个as配置bgp会话的时候。预共享密钥也应该安全地保存。