• Introducción
• Preguntas de la sesión
• P: ¿Por qué hay que tener cuidado con el tránsito en BGP?
• P: ¿Qué pasa con los bucles en BGP?
• P: ¿Si un ISP me comparte toda la tabla de rutas, este Filtro de prefijo me minimiza la tabla de rutas, pero causa algun problema para lo que es la salida a la navegación a Internet?
• P: ¿Qué beneficio tendría reiniciar la sesion BGP en lugar de solo limitar y que aparezca un warning only?
• P: Para este lab ¿cuáles son los requerimientos de tu equipo?
• P: ¿Cuáles son las direcciones de los videos de youtube para el tema del secuestro de red?
• P: ¿Cuál sería la diferencia del uso de TTL security vs ebgp-multihop en que casos seria lo mas recomendable cada uno?
• P: ¿Qué cantidad de prefijo máximo han visto en la práctica, si no se ha llegado a un acuerdo previo? ¿Dé qué depende este parámetro?
• P: ¿Las razones más comunes por las cuales se puede "alertar" una caída de una sesión eBGP, se enfocan prinicpalmnete en problemas fisícos, o pueden ser problemas logícos?
• P: ¿Nos podrían compartir qué versiones de IOS y de IOSXR están utilizando? Nos servirá de mucho.
• P: ¿Es posible utilizar SHA-2, SHA-3 en lugar de MD5?
• P: Hay un debug que podría tirar en el router para saber que la red que recibo no la puedo instalar en la routinh tabe pq en el as-path viene mí mismo AS ¿me pueden informar qué debug es?
• P: ¿Qué familia de productos soporta más de los 65 K de prefijos / rutas recibidas?
• P: ¿Es normal hacer uso de limitar el largo del AS-PATH para limitar el numero de prefijos en la tabla de ruteo y aprender la default?
• P: ¿El fichero de topología de EVE.NG es importable en CML Personal? ¿Existe algún truco que debamos tener en cuenta?
• P: Las imágenes que cargaron en EVE-NG las descaragan de Cisco directo, y las imagenes son QEMU?
• P: ¿Qué situaciones de seguridad con BGP se han encontrado en redes enterprise o de ISPs, y cuales si han tenido un impacto en la routing table de internet?
• P: ¿Podrían compartir alguna liga de ejemplos sobre cómo aplicar las route-policy y prefix.list? Ya que en teoria uno lo configura bien pero no funciona, tengo u ASR9000 y comparto muchas VRF por OSPF etc.
• P: ¿Existe un best-practice de Cisco en donde se recomiende "qué martian routes" se deben filtrar, por ejemplo, en una sesión ebgp cuando te anuncian full-routing?
• P: Entiendo que para establecer un eBGP, por default solo permite un salto para llegar a la IP del neighbor (a no ser que se habilite el ebgp multihop), entonces ¿qué función adicional cumpliria el ttl-security?
• P: Había un comando que puedo tirar en el router para saber que la red que recibo no la puedo instalar en la routinh tabe pq en el as-path viene mí mismo AS ¿qué comando es?
• P: ¿El cifrado MD5 es débil?
• P: ¿El "remove private" debería ser aplicado en incoming / outgoing hacia el peer?
• P: ¿Qué software utilizam para simular la DEMO?
• P: ¿En cada peer se deben configurar las mejores prácticas de seguridad de BGP?
• P: ¿Usar un as-path set ^$, no será recomendado usarlo solo en vecindades iBGP, ya que podrías anunciar prefijos privados?
• P: ¿Por qué BGP puede llegar a ser cosiderado lento?
• P: Con solo tener establecidad la conexion TCP entre los vecinos IBGP ya comienzan a compartir las tablas, además de compartir redes con el comando network en el address-family?
• P: En este lab también tiene ejemplificado BGP multihoming?
• P: A nivel recuersos ¿qué tanto(s) se necesita para levantar un laboratorio -escenario- como este?
• P: ¿Los IOS que se usan en EVE-NG son free?
• P: Se va a compartir la topología y los recursos del laboratio y la dmeostración del evento?
• P: En cuanto a los ISP ¿qué tan frecuente estos reciben ataques dirigidos a los sistemas con BGP?
• Información Relacionada

Preguntas de la sesión

P: ¿Por qué hay que tener cuidado con el tránsito en BGP?

R: Sobre el tránsito de BGP, la oración correcta es: "un sistema autónomo de tránsito". Ejemplo de un AS que hace tránsito: Tipicamente un proveedor de Internet que tiene clientes con los que sostiene sesiones BGP y estos clientes anuncian sus prefijos, el ISP los aprende, se los anuncia a sus upstream providers. 

P: ¿Qué pasa con los bucles en BGP?

R: Sobre los bucles, sería routing loops. El principal mecanismo que tiene BGP para prevenir routing loops es no aprender prefijos donde su mismo AS aparezca en el AS_PATH (claro, sin produndizar también existen otras cosas que se puede hacer en esto).

P: ¿Si un ISP me comparte toda la tabla de rutas, este Filtro de prefijo me minimiza la tabla de rutas, pero causa algun problema para lo que es la salida a la navegación a Internet?

R: Si no aprendes toda la tabla de rutas (DFZ) será necesario también aprender al menos una ruta por defecto (claro, pierder un poco de ingeniería de tráfico). Aquí te dejo un link donde escribí algo al respecto, quizás te ayude: https://blog.acostasite.com/2017/03/bgp-filtrar-por-tamano-de-la-red-en-bgp.html

P: ¿Qué beneficio tendría reiniciar la sesion BGP en lugar de solo limitar y que aparezca un warning only?

R: Pienso esto es muy particular del operador. El warning only solo creará el "log" y la sesión BGP seguirá operando. Si tu router no tienen memoria/cpu suficiente vas a tener inconveniente de que el mismo siga operando. Si la sesión BGP se reinicia, tienes que pensar en el impacto de que esto ocurra. Extra: recientemente viví un caso de un operador que estaba redistribuyendo sus prefijos IPv6 vía BGP. Su upstream provider tenía su max prefixes configurado y la sesión BGP quedaba en shut.

P: Para este lab ¿cuáles son los requerimientos de tu equipo?

R: En el slide 32 de esta sesión hay más detalles del laboratorio. Puedes ver los slides aquí: https://bit.ly/slides-sep27
El laboratorio esta corriendo en un servidor UCS, pero les podemos compartir igual las capacidades de recursos. Además peuden encontrar la topoogía y las configuraciones en los recuersos extras de la sesión: https://community.cisco.com/t5/documentos-routing-y-switching/material-extra-seguridad-en-bgp-mejores-pr%C3%A1cticas/ta-p/4695030

P: ¿Cuáles son las direcciones de los videos de youtube para el tema del secuestro de red?

R: Secuestro de Prefijos - RPKI - BGP
• https://www.youtube.com/watch?v=X5RNSs8y8Ao [Parte 1]
• https://www.youtube.com/watch?v=m51WtuEZOKI [Parte 2]

P: ¿Cuál sería la diferencia del uso de TTL security vs ebgp-multihop en que casos seria lo mas recomendable cada uno?

R: Con TTL security lo que se intenta es darle al equipo un mecanismo para prevenir que equipos no validos levanten una sesión de eBGP, tomando en cuenta que eBGP considera que el vecino estará directamente conectado. Pero a veces por temas de diseño o requerimiento de ciertos proveedores piden establecer las sesiones con su loopback address y es donde será útil el ocupar el eBGP multihop para establecer la vecindad.

P: ¿Qué cantidad de prefijo máximo han visto en la práctica, si no se ha llegado a un acuerdo previo? ¿Dé qué depende este parámetro?

R: En Cisco, principalmente XR, pues ya se tienen valores por defecto en el número máximo de prefijos que se pueden recibir. Más detalles en: https://www.cisco.com/c/en/us/td/docs/routers/asr9000/software/asr9k_r5-3/routing/configuration/guide/b_routing_cg53xasr9k/b_routing_cg53xasr9k_chapter_010.html
Ahora bien, en la sección de BGP Default Limits lo puedes ver. En dado caso de que no se tenga acuerdo, esos son los máximos por address family que se tienen.

P: ¿Las razones más comunes por las cuales se puede "alertar" una caída de una sesión eBGP, se enfocan prinicpalmnete en problemas fisícos, o pueden ser problemas logícos?

R: Pueden ser temas físicos, por la caída o falla de un enlace. Pero igual si por algún otro motivo los keepalives de BGP no se reciben, pues la sesión se tirará. Esto puede ser por temas de congestión, algun defecto de SW (bug), falla en el procesamiento del paquete, etc. Por lo que podría ser lógico y físico, dependiendo.

P: ¿Nos podrían compartir qué versiones de IOS y de IOSXR están utilizando? Nos servirá de mucho.

R: Sí, pueden encontrarles en los materiales extra de la sesión: https://community.cisco.com/t5/documentos-routing-y-switching/material-extra-seguridad-en-bgp-mejores-pr%C3%A1cticas/ta-p/4695030

P: ¿Es posible utilizar SHA-2, SHA-3 en lugar de MD5?

R: El único método disponible de autenticación de BGP es utilizando MD5, esto para todas las plataformas ocupando IOS, IOS XE o IOS XR. 

P: Hay un debug que podría tirar en el router para saber que la red que recibo no la puedo instalar en la routinh tabe pq en el as-path viene mí mismo AS ¿me pueden informar qué debug es?

R: En equipos XR podrías ocupar el debug bgp update u ocupar el deug bgp all neighbor x.x.x.x, para limitar la revisión a un vecino en particular y así poder analizar todo el proceso de actualización y sincronización de rutas. De la misma forma te dejo un documento de Cisco Live que me parece interesante en cuanto a la revisión y troubleshooting de varios escenarios comunes de falla de BGP: https://www.ciscolive.com/c/dam/r/ciscolive/emea/docs/2019/pdf/BRKRST-3320.pdf

P: ¿Qué familia de productos soporta más de los 65 K de prefijos / rutas recibidas?

R: La cantidad de rutas que un equipo puede aprender depende directamente de las capacidades de memoria de los equipos. Mientras más memoria, más rutas o prefijos se pueden aprender. Hablando en particular de los ISPs, los equipos que Cisco ofrecen para esta gama del mercado incluyen ASR9K, NCS5500, Cisco 8000 que generalmente soportan grandes cantidades de rutas. Pero es recomendable revisar la documentación de cada producto en cuanto a escalabilidad para asegurar que es el adecuado para las necesidades de tú red.

P: ¿Es normal hacer uso de limitar el largo del AS-PATH para limitar el numero de prefijos en la tabla de ruteo y aprender la default?

R: La cantidad de rutas que un equipo puede aprender depende directamente de las capacidades de memoria de los equipos. Mientras más memoria, más rutas o prefijos se pueden aprender. Hablando en particular de los ISPs, los equipos que Cisco ofrecen para esta gama del mercado incluyen ASR9K, NCS5500, Cisco 8000 que generalmente soportan grandes cantidades de rutas. Pero es recomendable revisar la documentación de cada producto en cuanto a escalabilidad para asegurar que es el adecuado para las necesidades de tú red.

P: ¿El fichero de topología de EVE.NG es importable en CML Personal? ¿Existe algún truco que debamos tener en cuenta?

R: Encuentre la respuesta en el foro Ask Me Anything del evento aquí. 

P: Las imágenes que cargaron en EVE-NG las descaragan de Cisco directo, y las imagenes son QEMU?

R: Desafortunadamente las imágenes no se pueden compartir por temas de Copyright. Sin embargo, si tienes cuenta y usuario de cisco.com con provilegios suficientes puedes descargar las imagenes de XRv y IOSv.
El lab y las configuraciones puedes descargarlas en el siguiente link:
https://1drv.ms/f/s!Ajacm8dDgObUdF9r3JPHjzVCptI 

P: ¿Qué situaciones de seguridad con BGP se han encontrado en redes enterprise o de ISPs, y cuales si han tenido un impacto en la routing table de internet?

R: El ocupar o no el TTL-SECURITY o cualquier otra práctica de seguridad siempre dependerá del diseño de cada red. Generalmente al establecer una sesión de eBGP con un proveedor, está se hace con la IP de la interfaz conectada donde el TTL Security tiene sentido. Pero algunos proveedores o implementaciones requieren se establezca la sesión con interfaces loopback o no conectadas (Ej. Inter-AS VPN) donde este tipo de prácticas de seguridad no aplican. Los best practices que se compartieron son prácticas sencillas para intentar asegurar las vecindades de BGP, pero el aplicarlas o no igual podrá depender del diseño e implementación de cada red.

P: ¿Podrían compartir alguna liga de ejemplos sobre cómo aplicar las route-policy y prefix.list? Ya que en teoria uno lo configura bien pero no funciona, tengo u ASR9000 y comparto muchas VRF por OSPF etc. 

R: La siguiente liga, te puede acyudar a complementar y entender el lenguaje de RPL utilizado en la plataforma XR.
https://community.cisco.com/t5/service-providers-knowledge-base/asr9000-xr-understanding-and-using-rpl-route-policy-language/ta-p/3117050  

P: ¿Existe un best-practice de Cisco en donde se recomiende "qué martian routes" se deben filtrar, por ejemplo, en una sesión ebgp cuando te anuncian full-routing?

R: Para esto es recomendable visitar la página del IANA

https://www.iana.org/assignments/ipv4-address-space/ipv4-address-space.xhtml
https://www.iana.org/assignments/ipv6-address-space/ipv6-address-space.xhtml

Y validar cuales son los segmentos de red privados y reservados. Estos son los que hay que evitar en el anuncio y aprendizaje de rutas. De la misma forma se puede buscar en internet organizaciones que mantienen estas listas actualizadas.

P: Entiendo que para establecer un eBGP, por default solo permite un salto para llegar a la IP del neighbor (a no ser que se habilite el ebgp multihop), entonces ¿qué función adicional cumpliria el ttl-security?

R: Encuentre la respuesta en el foro Ask Me Anything del evento aquí. 

P: Había un comando que puedo tirar en el router para saber que la red que recibo no la puedo instalar en la routinh tabe pq en el as-path viene mí mismo AS ¿qué comando es? 

R: No, no existe un comando que realice esto. Aunque podrías intentarlo con algún debug de BGP.

P: ¿El cifrado MD5 es débil?

R: El cifrado MD5 es débil, sí, y simple. Pero es un mecanismo para autenticar las sesiones de BGP. Puedes considerar también la opción de keychain que es más robusta.

P: ¿El "remove private" debería ser aplicado en incoming / outgoing hacia el peer? 

R: Depende del caso, en al demo de la sesión va hacía el incomming. 

P: ¿Qué software utilizam para simular la DEMO?

R: EVE-NG--> https://www.eve-ng.net/. En su Versión Free Community, es decir, aquellos interesados podrían probarlo de forma gratuita. 

P: ¿En cada peer se deben configurar las mejores prácticas de seguridad de BGP?

R: Como toda buena práctica, es bueno tenerlas en consideración para todos los escenarios, sin embargo, no son absolutamente necesarios para levantar la vecindad y tener la funcionalidad que brinda el protocolo. Aunque la recomendación es implementar la mayoría para evitar algún problema futuro o de compliance con el Peer que presta o recibe el servicio, o para evitar un ataque como hemos mencionado durante la presentación.

P: ¿Usar un as-path set ^$, no será recomendado usarlo solo en vecindades iBGP, ya que podrías anunciar prefijos privados?

R: Se puede ocupar el as-path set ^$ en conjunto con la funcionalidad del remove-private AS. Esto con el objetivo de anunciar únicamente las redes que se generan localmente en ese sistema autónomo (evitando que tú AS se ocupe como tránsito para llegar a otras redes) y al mismo tiempo eliminar los AS privados. O de la misma forma generar varias reglas con un RPL o route-maps para evitar la propagación de rutas con AS privados.

P: ¿Por qué BGP puede llegar a ser cosiderado lento?

R: Hay varios factores que afectan esto, en primera los protocolos de detección de falla y de monitoreo de BGP tiene timers muy extensos por lo que una falla toma tiempo en ser detectada. Esto igual aunado a la cantidad de prefijos y rutas que soporta BGP, mientras más grande es la tabla de BGP más tardado es el procesamiento de estas y de detectar una posible falla. Recuerda que el diseño de BGP está basado en su capacidad de transporte de rutas, no en su seguridad o velocidad, por lo que es necesario ocupar mecanismos de detección en otros protocolos o niveles para mejorar la velocidad de convergencia.

P: Con solo tener establecidad la conexion TCP entre los vecinos IBGP ya comienzan a compartir las tablas, además de compartir redes con el comando network en el address-family?

R: Es correto.

P: En este lab también tiene ejemplificado BGP multihoming?

R: Sí, en la topología parte 503 se muestra (parte de arriba).

P: A nivel recuersos ¿qué tanto(s) se necesita para levantar un laboratorio -escenario- como este?

R: Para el tema de recursos es necesario considerar que cada versión XRv e IOS utilizadas en este escenario utilizan:
XRv, 1 vCPU y 4 GB de RAM .
Respecto a los demás dispositivos (No XR) usan 1 vCPU y 512 MB de RAM.

P: ¿Los IOS que se usan en EVE-NG son free?

R: No, pero pueden ser encontrados en los buscadores. Proejemplo, algunos de ellos peuden ser allados en Google, depende de lo que se busque.

P: Se va a compartir la topología y los recursos del laboratio y la dmeostración del evento?

R: Sí, pueden encontrarles en: https://community.cisco.com/t5/documentos-routing-y-switching/material-extra-seguridad-en-bgp-mejores-pr%C3%A1cticas/ta-p/4695030 

P: En cuanto a los ISP ¿qué tan frecuente estos reciben ataques dirigidos a los sistemas con BGP?

R: Encuentre la respuesta en el foro Ask Me Anything del evento aquí. 

Información Relacionada

Vea los Slides Foro de la sesión Material de la Demo Vea el Video