cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
3381
Visitas
20
ÚTIL
15
Respuestas

AMA- Seguridad en BGP: Mejores Prácticas

Cisco Moderador
Community Manager
Community Manager

ATE-Participa

En el foro aborda sus dudas de las mejores prácticas para asegurar BGP. La escalabilidad y capacidad de ruteo de BGP le hacen por defecto la elección para la comunicación en Internet, sin embargo, no es un protocolo que se preocupe por la seguridad de la información que maneja. Los expertos de Cisco y Lacnic abordarán sus dudas de la importancia de la seguridad en BGP, compartirán tips y mejores prácticas para asegurar lo mejor posible las sesiones de BGP y con ello apoyar la estabilidad de las redes y la comunicación.

Vea los Slides Vea el FAQ Material de la Demo Vea el Video

Haga sus preguntas del 27 de Septiembre al 7 de Octubre, 2022.

Expertos en Destaque

alejandro-acosta.jpg

Alejandro Acosta es coordinador de I+D en LACNC y miembro de diferentes organizaciones relacionadas a Internet. Anteriormente fue Chair de LAC-TF (IPv6 Task Force), Gerente de IT y Soporte para British Telecom (BT), y miembro de la Comisión Electoral de LACNIC. Fue docente de TCP/IP por más de 10 años a nivel universitario y coordinador de eventos de FLIP-6 e IPv6 en Latinoamérica. Cuenta con 3 especializaciones en el área de tecnologías de la Universidad de Michigan y Maryland.

 

hecarran.jpg

Hector Carranza es un Technical Leader para las tecnologías de Service Provider XR. Cuenta con más de 14 años de experiencia en IT y se especializa en diversas tecnologías soportadas en las plataformas XR de Cisco; como, protocolos de ruteo, switching, MPLS, L3VPN, L2VPN, MLDP, VSM. También se especializa en la arquitectura de las plataformas de la familia de ASR9000, NCS5000, NCS5500, NCS540, CRS. Hector es un Ingeniero en Sistemas Computacionales egresado del instituto de Estudios Superiores de Monterrey (ITESM, CEM). Y cuenta con la certificación de CCIE Enterprise Infrastructure (#42717).

 

imaganal.jpg

Ignacio Magaña es un Technical Consulting Engineer en el área especializada en Service Providers a nivel mundial en Cisco México. Tiene más de 10 años de experiencia en redes y telecomunicaciones. Se especializa en tecnologías y protocolos utilizados por los Service Providers como, MPLS, OSPF, IS-IS, SR, BGP, BNG y Multicast principalmente. Así como en las plataformas de Service Provider en las que se encuentran, ASR9000, ASR9900, NCS y CRS. Es egresado de la carrera de Ingeniería en Control y Automatización de la Escuela Superior de Ingeniería Mecánica y Eléctrica (ESIME) del Instituto Politécnico Nacional (IPN). Cuenta con las certificaciones de eITIL, RedHat, Juniper, DevNet Associate y un CCIE Service Provider (#53583).

Encuentre más infromación en la categoría de Routing & Switching de la Comunidad de Cisco.

** ¡Los puntos de utilidad fomentan la participación! **
Por favor asegúrese de dar unospecial-programs.png a las respuestas a sus preguntas.

15 RESPUESTAS 15

Cisco Moderador
Community Manager
Community Manager

Hola a todos, querido Alejando, Hector y Nacho, gracias por tan increíble evento. LA sesión ha sido e grana valor y ha llamado a muchos dentro y fuera de la comunidad. Esperamos se de gran ayuda para muchos que buscan mantener y dar mayor seguridad.
Les compartimos las preguntas que han quedado pendientes de contestar en la sesión en vivo (o en su defecto pendientes a validación)

  • P: ¿Qué familia de productos soporta más de los 65 K de prefijos / rutas recibidas?
    P: ¿Es normal hacer uso de limitar el largo del AS-PATH para limitar el número de prefijos en la tabla de ruteo y aprender la default?
    P: ¿Existe un best-practice de Cisco en donde se recomiende "qué martian routes" se deben filtrar, por ejemplo, en una sesión ebgp cuando te anuncian full-routing?

Hola buenas tardes,

Respondiendo a tus preguntas:

1. La cantidad de rutas que un equipo puede aprender depende directamente de las capacidades de memoria de los equipos. Mientras más memoria, más rutas o prefijos se pueden aprender. Hablando en particular de los ISPs, los equipos que Cisco ofrece para esta gama del mercado incluyen ASR9K, NCS5500, Cisco 8000 que generalmente soportan grandes cantidades de rutas. Pero es recomendable revisar la documentación de cada producto en cuanto a escalabilidad para asegurar que es el adecuado para las necesidades de tú red.

2. Esta práctica depende de cada ISP y el diseño de la red. El limitar el largo del AS-PATH normalmente se ocupa como un esquema para evitar supuestos loops en una red. Para limitar la cantidad de rutas, hay ISPs que prefieren limitar por los prefijos y otros por al AS-PATH o una mezcla de ambas. Pero de nuevo, dependerá mucho del diseño de la red y requisitos de cada escenario.

3. Para esto es recomendable visitar la página del IANA

https://www.iana.org/assignments/ipv4-address-space/ipv4-address-space.xhtml
https://www.iana.org/assignments/ipv6-address-space/ipv6-address-space.xhtml

Y validar cuales son los segmentos de red privados y reservados. Estos son los que hay que evitar en el anuncio y aprendizaje de rutas. De la misma forma se puede buscar en internet organizaciones que mantienen estas listas actualizadas.

Cisco Moderador
Community Manager
Community Manager
  • P: ¿Podrían compartir alguna liga de ejemplos sobre cómo aplicar las route-policy y prefix.list? Ya que en teoría uno lo configura bien pero no funciona, tengo u ASR9000 y comparto muchas VRF por OSPF etc.
  • P: ¿Las imágenes que cargaron en EVE-NG serán descargadas de Cisco directo, además, estás son QEMU?

R: La siguiente liga, te puede acyudar a complementar y entender el lenguaje de RPL utilizado en la plataforma XR.

https://community.cisco.com/t5/service-providers-knowledge-base/asr9000-xr-understanding-and-using-rpl-route-policy-language/ta-p/3117050

R: Desafortunadamente las imágenes no se pueden compartir por temas de Copyright. Sin embargo, si tienes cuenta y usuario de cisco.com con provilegios suficientes puedes descargar las imagenes de XRv y IOSv.

El lab y las configuraciones puedes descargarlas en el siguiente link:

https://1drv.ms/f/s!Ajacm8dDgObUdF9r3JPHjzVCptI

 

Cisco Moderador
Community Manager
Community Manager
  • P: ¿Qué situaciones de seguridad con BGP se han encontrado en redes enterprise o de ISPs, y cuales si han tenido un impacto en la routing table de internet?
  • P: ¿El fichero de topología de EVE.NG es importable en CML Personal? ¿Existe algún truco que debamos tener en cuenta?

 

  • P: ¿El fichero de topología de EVE.NG es importable en CML Personal? ¿Existe algún truco que debamos tener en cuenta?
  • R El Fichero puede ser importado en el CML Personal. No es un Truco, si no mas bien un requrimiento que es tener las imagenes que el mismo escenario esta solicitando; el nombre de estas imagenes se pueden encontrar en la parte de "nodes" dentro del "lab topology".

 

Cisco Moderador
Community Manager
Community Manager
  • P: En cuanto a los ISP ¿qué tan frecuente estos reciben ataques dirigidos a los sistemas con BGP?
  • P: Entiendo que para establecer un eBGP, por default solo permite un salto para llegar a la IP del neighbor (a no ser que se habilite el ebgp multihop), entonces ¿qué función adicional cumpliría el ttl-security?

Hola buenas tardes,

Respondiendo a tús preguntas.

El ocupar o no el TTL-SECURITY o cualquier otra práctica de seguridad siempre dependerá del diseño de cada red. Generalmente al establecer una sesión de eBGP con un proveedor, está se hace con la IP de la interfaz conectada donde el TTL Security tiene sentido. Pero algunos proveedores o implementaciones requieren se establezca la sesión con interfaces loopback o no conectadas (Ej. Inter-AS VPN) donde este tipo de prácticas de seguridad no aplican. Los best practices que se compartieron son prácticas sencillas para intentar asegurar las vecindades de BGP, pero el aplicarlas o no igual podrá depender del diseño e implementación de cada red.

Hilda Arteaga
Cisco Employee
Cisco Employee

Hola, nuevamente gracias por el evento y por compartirnos información valiosa durante la sesión.

Les comparto más dudas que faltan por ser contestadas:

  • P: A nivel recursos ¿qué tanto(s) se necesita para levantar un laboratorio -escenario- como este?
    P: ¿En cada peer se deben configurar las mejores prácticas de seguridad de BGP?

1. Para el tema de recursos es necesario considerar que cada version XRv e IOS utilizadas en este escenario utilizan:

 XRv, 1 vCPU y 4 GB de RAM .

Respecto a los demas dispositivos (No XR) usan 1 vCPU y 512 MB de RAM.

2. Como toda buena practica, es bueno tenerlas en consideracion para todos los escenarios, sin embargo, no son absolutamente necesarios para levantar la vecindad y tener la funcionalidad que brinda el protocolo. Aunque la recomendacion es implementar la mayoria para evitar algun problema futuro o de compliance con el Peer que presta o recibe el servicio, o para evitar un ataque como hemos mencionado durante la presentacion.

Saludos.

IML

 

 

Hilda Arteaga
Cisco Employee
Cisco Employee
  • P: ¿Usar un as-path set ^$, no será recomendado usarlo solo en vecindades iBGP, ya que podrías anunciar prefijos privados?
  • P: ¿Por qué BGP puede llegar a ser considerado lento?

Hola!, respondiendo a tus preguntas,

1. Se puede ocupar el as-path set ^$ en conjunto con la funcionalidad del remove-private AS. Esto con el objetivo de anunciar únicamente las redes que se generan localmente en ese sistema autónomo (evitando que tú AS se ocupe como tránsito para llegar a otas redes) y al mismo tiempo eliminar los AS privados. O de la misma forma generar varias reglas con un RPL o route-maps para eivtar la propagación de rutas con AS privados.

2. Hay varios factores que afectan esto, en primera los protoclos de detección de falla y de monitoreo de BGP tiene timers muy extensos por lo que una falla toma tiempo en ser detectada. Esto igual aunado a la cantidad de prefijos y rutas que soporta BGP, mientras más grande es la tabla de BGP más tardado es el procesamiento de las mismas y de detectar una posible falla. Recuerda que el diseño de BGP esta basado en su capacidad de transporte de rutas, no en su seguridad o velocidad, por lo que es necesario ocupar mecanismos de detección en otros protoclos o niveles para mejorar la velocidad de convergencia.

Gracias Héctor, la ayuda de las Regular Expression en evidente.

Hilda Arteaga
Cisco Employee
Cisco Employee
  • P: ¿Es posible utilizar SHA-2, SHA-3 en lugar de MD5?
  • P: Hay un debug que podría tirar en el router para saber que la red que recibo no la puedo instalar en la routinh tabe pq en el as-path viene mí mismo AS ¿me pueden informar qué debug es?