Boas prticas de segurana para BGP

Boas prticas de segurana para BGP

Carlos Friaas Pedro Lorga Joo Ferreira Lino Santos Novembro de 2010

NDICE

1 2

SUMRIO EXECUTIVO.................................................................................... 1 INTRODUO ................................................................................................... 2 2.1 Enquadramento ............................................................................................................... 2 2.2 Audincia .......................................................................................................................... 2 2.3 Objectivos......................................................................................................................... 2 2.4 Estrutura do documento ................................................................................................ 2 O QUE O BGP ................................................................................................. 3 3.1 Conceitos Base do Protocolo BGP .............................................................................. 3 3.2 Funcionamento do BGP ................................................................................................ 4 3.3 O BGP em Portugal ........................................................................................................ 5 QUADRO DE AMEAAS ...................................................................................6 4.1 Negao de servio.......................................................................................................... 6 4.2 Adulterao de rotas/caminhos .................................................................................... 6 4.3 Afundamento de rotas .................................................................................................... 7 4.4 Utilizao do protocolo BGP como auxiliar de outro tipo de ataques ................... 7 PROTEGER OS ENCAMINHADORES ...........................................................9 5.1 Arquitectura de segurana .............................................................................................. 9 5.2 Manter software actualizado ........................................................................................ 10 5.3 Limitar aceitao do nmero de rotas ........................................................................ 10 PROTEGER O BGP .......................................................................................... 11 6.1 Proteger as sesses ........................................................................................................ 11 6.2 Certificao de Recursos .............................................................................................. 11 MONITORIZAR E DETECTAR ATAQUES AO BGP .................................. 13 CHECKLIST ...................................................................................................... 14

7 8

BOAS PRTICAS DE SEGURANA BGP

LISTA DE ILUSTRAES

Ilustrao 1 - Funcionamento do BGP .......................................................................................... 4

ii

BOAS PRTICAS DE SEGURANA BGP

LISTA DE ACRNIMOS E ABREVIATURAS

ARPANET BGP CERT FCCN IETF IP RIPE RIPE NCC RIRs

Advanced Research Projects Agency Network Border Gateway Protocol Computer Emergency Response Team Fundao para a Computao Cientfica Nacional Internet Engineering Task Force Internet Protocol Rseaux IP Europens RIPE Network Coordination Centre Regional Internet Registries

iii

BOAS PRTICAS DE SEGURANA BGP

SUMRIO EXECUTIVO

A Internet uma rede escala planetria com milhes de computadores interligados. Teve a sua origem no contexto militar, com o objectivo de permitir uma troca de informao rpida e resiliente. Cresceu e evoluiu nos meios acadmicos e hoje configura uma commodity com centenas de milhes de utilizadores escala global e uma infra-estrutura bsica de suporte aos vrios sectores de actividade econmica e social. A cada computador ligado a esta rede, atribudo um endereo nico, de forma a que cada sistema possa ser identificado inequivocamente. Este endereo, ao qual se d o nome de Endereo IP (Internet Protocol) consiste em quatro nmeros separados pelo caracter . (ponto), na sua verso IPv4 (eg. 192.0.2.1), ou numa sequncia de oito valores hexadecimais separados pelo caracter : (dois pontos) na sua verso IPv6 (eg. 2001:0db8:85a3:0000:0000:8a2e:0370:7334). A Internet, e nomeadamente estes endereos IP, encontram-se organizados em domnios administrativos a que chamamos Sistemas Autnomos e que se caracterizam por possuir uma poltica de encaminhamento distinta. Esta segmentao da gesto global da Internet contribuiu em grande medida para o rpido crescimento e o correspondente sucesso desta rede. O protocolo BGP (Border Gateway Protocol) foi criado para assegurar a interligao e interoperao entre estes domnios de forma a permitir a comunicao entre computadores situados em diferentes Sistemas Autnomos. Dada a sua importncia para o bom funcionamento da Internet pode-se afirmar que o BGP e o conjunto dos encaminhadores que o implementam constituem uma infra-estrutura crtica da informao. Face a alguns episdios recentes com origem quer em fragilidades no software que suporta esta funo, quer em erros humanos na sua correcta administrao, importa coligir, num s documento, alguns cuidados bsicos na operao e correcta configurao de um encaminhador BGP. Este documento serve como guia de apoio a todos os administradores de redes e pessoas que sejam responsveis pela manuteno e configurao de encaminhadores de fronteira, que troquem portanto trfego IP com outros Sistemas Autnomos, ou seja, redes geridas autonomamente por terceiros.

BOAS PRTICAS DE SEGURANA BGP

2
2.1

INTRODUO
ENQUADRAMENTO

Este documento insere-se nos objectivos do CERT.PT, nomeadamente o de contribuir para o esforo de cibersegurana nacional atravs da produo de alertas e recomendaes de segurana e da promoo de uma cultura de segurana em Portugal. Este documento diz respeito ao protocolo BGP, usado principalmente no contexto da interligao de redes independentemente geridas.

2.2

AUDINCIA

Este documento pblico, sendo a sua audincia principal os administradores de redes.

2.3

OBJECTIVOS

Este documento visa disseminar informao sobre o protocolo BGP, para que dele se faa uma utilizao mais segura. Pretende-se portanto alertar para os vrios riscos, e descrever, quando possvel, algumas formas de mitigao.

2.4

ESTRUTURA DO DOCUMENTO

Este documento est dividido em oito partes: o primeiro e o segundo captulos apresentam, respectivamente, um sumrio executivo e esta mesma introduo; o terceiro captulo apresenta os conceitos bsicos do protocolo BGP. O quarto captulo descreve o quadro de ameaas. O quinto e sexto captulos focam-se na proteco dos encaminhadores e do protocolo BGP. O stimo captulo aborda alguns aspectos da monitorizao e deteco de ataques ao protocolo BGP e o ltimo e oitavo captulo apresenta uma lista resumida de boas prticas.

BOAS PRTICAS DE SEGURANA BGP

O QUE O BGP

A Internet existe desde que o protocolo TCP/IP (Transmission Control Protocol) foi desenvolvido no incio dos anos 70. Desde ento a rede tem crescido at atingir os milhes de utilizadores que hoje existem. Em adio ao TCP/IP, dois grandes protocolos foram desenhados nos anos 80 para permitir que o crescimento da rede ocorresse com maior facilidade. Estes protocolos so o DNS (Domain Name Service) e o BGP (Border Gateway Protocol). Juntos, estes trs protocolos compem o ncleo de infra-estrutura da Internet. O protocolo BGP foi desenhado e aperfeioado ao longo dos anos no seio do IETF de forma a ser flexvel o suficiente para suportar as necessidades de especificao de qualquer poltica de encaminhamento. A implementao destas polticas resulta na troca de informao (rotas para atingir um destino especfico) entre encaminhadores de fronteira de cada Sistema Autnomo. Com o crescimento da Internet e do nmero de utilizadores, os perigos para o bom funcionamento dos trs protocolos que funcionam como pilares da Internet actual dispararam. Face a essa evidncia o mesmo IETF trabalhou em mecanismos para os robustecer na vertente de segurana, sendo que naturalmente o protocolo BGP no constitui excepo. H no entanto que distinguir entre a possibilidade de robustecer o protocolo e a concretizao dessa robustez, que no fundo ser uma opo para cada domnio.

3.1

CONCEITOS BASE DO PROTOCOLO BGP

O conceito de Sistema Autnomo (AS Autonomous System) a base para compreendermos o funcionamento do protocolo BGP. Um Sistema Autnomo composto por uma ou vrias redes geridas pela mesma entidade, sendo que essa entidade tem a capacidade de definir uma poltica de encaminhamento independente das polticas de encaminhamento de Sistemas Autnomos terceiros. Isto significa que no depende inteiramente de redes vizinhas para alcanar (e ser alcanada por) outras redes ligadas Internet. Ao contrrio de outro protocolo que um pilar da Internet actual (o DNS), o BGP funciona de forma totalmente distribuda, no necessitando de uma infra-estrutura de inicializao, que no caso do DNS consiste na zona de raiz (.).

BOAS PRTICAS DE SEGURANA BGP

Dois conceitos associados forma como se troca informao sobre o protocolo BGP so os conceitos de peering e trnsito. Enquanto no primeiro caso, dois Sistemas Autnomos apenas trocam redes entre si que digam respeito ao seu prprio domnio e dos seus respectivos clientes, o segundo caso acontece quando uma das partes fornece todas as redes existentes na Internet outra parte, ou em alternativa a rota default (0.0.0.0/0 ou ::/0). Para atingir os objectivos a que foi proposto pelos seus criadores, o BGP necessita no mnimo de dois equipamentos que conheam e utilizem a mesma verso do protocolo para trocarem informao.

Sistema Autnomo 2
P BG

BGP

Sistema Autnomo 3
P BG

Sistema Autnomo 1

BGP

Sistema Autnomo 5

BGP

BGP

Sistema Autnomo 4
Ilustrao 1 - Funcionamento do BGP

No limite, um Sistema Autnomo pode ser constitudo apenas por um equipamento que utilize o protocolo para comunicar com equipamentos de outros Sistemas Autnomos

3.2

FUNCIONAMENTO DO BGP

O alfa e o mega do protocolo BGP a troca de rotas (ou redes), ou seja, a troca de registos com a indicao de um endereo de rede e o respectivo comprimento da mscara. Isto representa uma flexibilidade a qualquer rede IP que queira fazer parte da Internet,

BGP

BOAS PRTICAS DE SEGURANA BGP

podendo utilizar o protocolo com outras redes que lhes estejam prximas e tambm com as redes que disponham de oferta de trnsito para a Internet. Um Sistema autnomo representado por um nmero unvoco na Internet atribudo pelo respectivo Regional Internet Registry (na Europa esse papel desenpenhado pelo RIPE/NCC). A associao entre rotas e um Sistema Autnomo em especfico uma premissa do funcionamento deste protocolo. A nica excepo normalizada at ao momento so as rotas anycast, que so bem conhecidas de toda a Internet e podem com efeito ter vrias origens. Usualmente designa-se como origem de uma rota o sistema autnomo que a injecta no protocolo BGP. O conceito de AS_PATH tambm importante, pois um valor que surge no BGP sempre associado a cada rota. O AS_PATH de uma rota formado pela cadeia de Sistemas Autnomos desde o Sistema Autnomo de onde a rota visvel at ao Sistema Autnomo que a origina. Ao contrrio de outros protocolos, o BGP pode ser usado quer como protocolo de encaminhamento interno (IGP), como de encaminhamento externo (EGP).

3.3

O BGP EM PORTUGAL

Para o espao geogrfico Europeu a distribuio dos recursos de numerao IP e dos identificadores de Sistemas Autnomos da exclusiva competncia do RIPE/NCC. Dentro dessa perspectiva, qualquer novo ISP, ou qualquer organizao que identifique a necessidade de possuir uma poltica de encaminhamento independente, ter que obter esse recurso atravs do RIPE/NCC, entidade sedeada em Amesterdo. Em Portugal o nmero de Sistemas Autnomos actualmente em operao reduzido. A prtica da interligao de redes IP em Portugal expressa-se sobretudo atravs de ligaes directas (onde dois Sistemas Autnomos partilham um recurso/circuito de interligao) para partilha de rotas, ou atravs de uma plataforma de acesso partilhado como o GigaPix. O GigaPIX gerido e operado pela FCCN desde 1995 e constitui a principal plataforma de troca de trfego nacional conhecida. Os principais ISP nacionais esto presentes no GigaPIX onde trocam rotas BGP e respectivo trfego Internet quer IPv4, quer IPv6.

BOAS PRTICAS DE SEGURANA BGP

QUADRO DE AMEAAS

A principal razo que leva a que o protocolo BGP seja alvo de vrios tipos de ameaas advm da importncia deste para o bom funcionamento da Internet. Porque o protocolo BGP tem como base uma gesto distribuda, mais vulnervel a aces maliciosas da parte de qualquer pessoa/entidade mal intencionada (com acesso a um dos seus ns) ou a erros humanos dos administradores de um qualquer Sistema Autnomo, quase sempre com implicaes a nvel global. O compromisso de um n BGP que disponha de vrias sesses com outros Sistemas Autnomos poder no afectar apenas o espao de endereamento da rede na qual esse n se inclui, mas qualquer endereo a nvel global, se os seus ns vizinhos no dispuserem de filtros adequados. Da mesma forma que outros protocolos usados como pilares da Internet, o protocolo BGP no foi concebido de forma a obrigar sua utilizao de forma segura. Isto significa que uma sesso entre dois Sistemas Autnomos poder potencialmente ser escutada e mesmo adulterada, se o canal de comunicao entre os dois Sistemas Autnomos no for por si s seguro. Antes de apresentar as boas prticas para proteger o protocolo BGP e minimizar o risco de utilizao indevida, importa conhecer as principais ameaas ao seu bom funcionamento. De seguida descreve-se um conjunto de tcnicas habitualmente utilizadas para causar perturbao no protocolo BGP ou tirar proveito deste para outro tipo de actividades ilcitas.

4.1

NEGAO DE SERVIO

Um ataque de negao de servio, como o prprio nome indica visa interferir e causar uma disfuno no bom funcionamento de um servio. No caso do protocolo BGP, o vector de ataque mais utilizado consiste no envio de mensagens de update. Outra forma de destruir sesses BGP entre dois routers conseguir encher o canal de comunicao entre esses mesmos dois routers, de forma a impedir que as mensagens entre ambos sejam recebidas.

4.2

ADULTERAO DE ROTAS/CAMINHOS

A gravidade deste tipo de ameaa depender sempre do nvel de filtragem efectuada no potencial alvo deste tipo de ataque. Uma vez que as sesses BGP so bilaterais e

BOAS PRTICAS DE SEGURANA BGP

pressupem algum grau de confiana entre as duas partes envolvidas em cada sesso, este tipo de ataque mais fcil de concretizar em ambientes onde se opte pela utilizao de um servidor de rotas. Neste caso, as sesses continuam a ser bilaterais entre uma rede especfica e o servidor de rotas, mas por trs deste servidor de rotas (que constitui ele prprio um Sistema Autnomo) estaro vrias outras redes, emprestando um carcter mais multilateral a esta opo. Neste caso o risco de aceitao de rotas poludas (que possam alterar caminhos genunos) reside principalmente na capacidade de filtragem existente no prprio servidor de rotas, e na confiana que cada rede utilizadora deposita na boa gesto desse servidor. A recomendao que se pode fazer no sentido de mitigar este tipo de risco que nenhuma rede deposite confiana total no servidor de rotas, e ao mesmo tempo que a aceitao de rotas no prprio servidor seja efectuada criteriosamente e recorrendo a interveno humana sempre que exista a necessidade de aceitar ou remover qualquer rota. Tambm ser importante no manter configuradas (e activas) sesses com encaminhadores que deixem de estar configurados, para impossibilitar que um atacante (com acesso ao canal de comunicao) use o endereo desses encaminhadores desactivados, de forma a injectar rotas.

4.3

AFUNDAMENTO DE ROTAS

Principalmente quando se estabelece uma relao cliente/fornecedor entre dois Sistemas Autnomos, importante que o fornecedor tenha extrema ateno em relao s rotas que aceita na(s) sesso(es) estabelecidas com cada cliente. Este tipo de precauo, permitir evitar danos causados a redes terceiras no caso de atravs de um erro, ou de compromisso do n BGP do cliente, ser anunciado pelo cliente ao fornecedor uma rota que no pertence ao cliente ou a um cliente deste. No caso de o fornecedor no efectuar uma filtragem adequada, poder propagar para os seus prprios fornecedores uma rede para a qual na realidade no deseja prestar o servio de trnsito, e ao mesmo tempo efectuar um afundamento de redes pertencentes a terceiros, de forma parcial ou total.

4.4 UTILIZAO DO PROTOCOLO BGP COMO AUXILIAR DE OUTRO TIPO DE ATAQUES

Embora possa ser uma ameaa relativamente pouco habitual, dada a dimenso do conjunto de redes que operam no plano do BGP, o prprio protocolo pode ser manipulado de forma a desviar trfego para o domnio de um atacante ou organizao mal intencionada. Uma vez capturado o trfego, ele pode ser adulterado e enviado para o destinatrio original, configurando assim um ataque do tipo man-in-the-middle. De salientar que mais uma vez a melhor forma de mitigar esta ameaa simplesmente recorrer a filtragem adequada,

BOAS PRTICAS DE SEGURANA BGP

s aceitando explicitamente as rotas que sabemos que pertencem ao domnio com o qual efectuamos troca de rotas. Tambm boa prtica assegurar que o AS-PATH, ou seja o caminho de Sistemas Autnomos associado a cada rota genuno.

BOAS PRTICAS DE SEGURANA BGP

PROTEGER OS ENCAMINHADORES

A construo de um ataque visando o protocolo BGP, ou em alternativa, usando o protocolo como ferramenta para atacar outros objectivos passa sobretudo pelo controlo de um encaminhador que utilize o BGP para trocar rotas com outros Sistemas Autnomos ou com outros encaminhadores do seu prprio Sistema Autnomo.

5.1

ARQUITECTURA DE SEGURANA

Cada encaminhador dever ter um acesso controlado, apenas possvel de origens bem determinadas, recorrendo-se para isso ao uso de ACLs (access control lists). Tambm ser de considerar se mais racional manter uma base de dados local com as credenciais que permitem o acesso ao equipamento, ou se essas credenciais devero depender de recursos externos, nomeadamente servidores radius ou tacacs+, sendo que se dever sempre analisar se o fluxo de informao at esses servidores sempre cifrado. O acesso via SNMP tambm um aspecto a ter em considerao, evitando usar comunidades com permisses de escrita ao invs de possuirem apenas capacidade de leitura, caso as alteraes configurao atravs de SNMP no sejam uma necessidade. Ou seja, apenas devem estar configuradas as funcionalidades estritamente necessrias boa operao do equipamento. Apesar de os cuidados com a filtragem de rotas deverem ser uma preocupao comum a todos os encaminhadores que usem BGP num determinado domnio, os encaminhadores que possuem sesses configuradas com outros domnios (Sistemas Autnomos) so porventura mais apetecveis para um ataque. Ao mesmo tempo que esto mais expostos a ataques originados do exterior, tambm sob a perspectiva defensiva podero ser uma maisvalia. Uma vez detectado um ataque a um determinado encaminhador que no esteja situado na fronteira do domnio, fcil quer pela aplicao de uma ACL ao nvel IP ou pelo afundamento da rota externa de origem do ataque impedir a continuidade desse ataque. no entanto extremamente crtico que esse afundamento no seja propagado para o exterior do Sistema Autnomo. A configurao de sesses de forma redundante (mais de uma sesso entre os mesmos dois encaminhadores, ou entre os mesmos dois Sistemas Autnomos) pode tambm ser til no sentido de identificar discrepncias na informao trocada nessas sesses, que podero ser o resultado de um ataque em curso.

BOAS PRTICAS DE SEGURANA BGP

5.2

MANTER SOFTWARE ACTUALIZADO

Outro aspecto muito importante acompanhar os security advisories difundidos pelos prprios fabricantes dos encaminhadores, no sentido de avaliar se necessrio proceder a uma actualizao do sistema operativo do mesmo, com o objectivo de impedir a explorao por terceiros de um eventual bug de software.

5.3

LIMITAR ACEITAO DO NMERO DE ROTAS

A filtragem central na defesa que possvel realizar relativamente a ataques ao protocolo BGP e aos encaminhadores que o usam. muito importante garantir que do exterior no sejam aceites rotas ou partes de rotas que pertenam ao interior de um Sistema Autnomo. Da mesma forma, em relaes de peering, onde existe somente uma troca de rotas, sem uma relao fornecedor/cliente, importante estabelecer um nmero limite para o tamanho do conjunto de rotas que se aceitam do outro extremo da sesso. Isto impedir por exemplo que um problema nos filtros da outra parte da sesso cause a importao de um nmero de rotas (eventualmente todas as rotas da Internet) e em consequncia disso, caso o equipamento no esteja preparado para essa recepo, possa comear a ter problemas de memria e processamento que configuraro uma situao de negao de servio.

10

BOAS PRTICAS DE SEGURANA BGP

6
6.1

PROTEGER O BGP
PROTEGER AS SESSES

A proteco das sesses BGP dever ser uma preocupao dos administradores de redes que o utilizem. Se no plano da sua utilizao interna, essa questo est dependente apenas da deciso de uma organizao, no plano de interligao com outras redes existe uma forte dependncia de terceiros para a sua concretizao. No se deve no entanto esquecer que uma sesso BGP protegida entre duas redes diferentes dever ser do interesse de ambos os domnios envolvidos. Na prtica, a proteco de uma sesso BGP envolve apenas que exista uma palavra-chave acordada entre os dois domnios. Dessa forma, se um dos lados deixar de possuir essa palavra-chave configurada, a sesso ser terminada. Este mecanismo impede que qualquer terceira parte que se tente imiscuir entre os dois equipamentos dos dois domnios no consiga comunicar com eles ao nvel do BGP por no estar de posse dessa palavra-chave. A importncia de optar por proteger as sesses BGP com palavra-chave cada vez mais relevante uma vez que um dos vectores de ataque mais conhecido explora a possibilidade de um equipamento aceitar ligaes a partir de origens pr-configuradas de outros domnios, origens essas que podero ser falsificadas/forjadas. Outro aspecto a ter em ateno que as sesses BGP funcionam geralmente recorrendo a um canal de comunicao por onde flui o trfego propriamente dito, ou seja em modo inband. Esta caracterstica, pode levar a interrupes cclicas do fluxo de trfego, se o volume do mesmo for suficiente para esmagar a informao relativa sesso BGP. A soluo para esta questo no depende pois de configurao de uma palavra-chave, mas ao contrrio depende de um correcto dimensionamento do canal de comunicao, e ao mesmo tempo de uma correcta superviso.

6.2

CERTIFICAO DE RECU RSOS

O RIPE/NCC, em cooperao com os restantes RIR vai a partir do incio de 2011 iniciar um processo de certificao de recursos. Numa fase inicial o objectivo validar a origem de rotas atravs de certificados X.509 com a extenso definida no RFC 3779, para mitigar problemas originados por m configurao e/ou actos maliciosos.

11

BOAS PRTICAS DE SEGURANA BGP

Este processo estar alicerado na distribuio de certificados por cada um dos RIRs, a pedido dos seus membros que detenham recursos de espao de endereamento e numerao de Sistema Autnomo. Com a emisso dos certificados ser possvel criar os objectos Route Origin Authorisation (ou ROA), onde se efectua uma associao entre nmero de Sistema Autnomo e um conjunto de blocos de endereamento. Desta forma possvel verificar se um dado prefixo/bloco pertence na verdade entidade que o est a anunciar atravs do protocolo BGP. Sero ainda necessrios desenvolvimentos nas interfaces de gesto dos certificados, um avaliador web de ROAs, e tambm um protocolo up/down para criar CAs abaixo do RIPE/NCC (durante 2011). Do lado do hardware, e para tornar o processo mais gil, a Cisco Systems j tem equipamentos em testes (a correr IOS e IOS-XR) e a Juniper Networks est a trabalhar igualmente na validao dos certificados em tempo real. preciso manter em perspectiva que os certificados reflectiro apenas o estado de registo dos recursos. Se no existe registo dos recursos no haver certificado, enquanto que o contrrio j poder no ser verdade. Tambm necessrio deixar claro que nenhum recurso ser suspenso caso um certificado a ele associado seja revogado. Ser possvel aceitar um prefixo mesmo se o certificado estiver invlido, desde que haja confiana entre quem aceita receber o prefixo/bloco (atravs do protocolo BGP) e quem anuncia o prefixo o que na realidade reflecte o que se passa nos dias de hoje. Os cinco RIRs, que cobrem o globo em termos de reas de servio, consideram que o ideal ser a existncia de apenas uma ncora de confiana autoritativa, mas tambm concordam que esse cenrio no dever acontecer no curto prazo. Os RIRs vo sim implementar solues pragmticas de servios de RPKI, de momento baseadas em self-signed trust anchors. O objectivo traado foi de comear efectivamente a emitir certificados a partir de 1 de Janeiro de 2011. Se desejar mais informao sobre este assunto, poder aderir a duas listas de distribuio criadas pelo RIPE/NCC: Discusses sobre polticas de certificao de recursos: ca-tf@ripe.net. Discusses sobre software de certificao de recursos: certtest@ripe.net.

12

BOAS PRTICAS DE SEGURANA BGP

MONITORIZAR E DETECTAR ATAQUES AO BGP

A deteco e monitorizao de tentativas de intruso aos equipamentos que usam o protocolo BGP ou que tentem comprometer a informao trocada no mbito do protocolo deve ser uma prtica corrente. O nvel de debugging definido nos equipamentos deve permitir detectar tentativas e alteraes de estados que permitam posteriormente efectuar diagnsticos. O registo de ocorrncias deve no s ser armazenado no prprio equipamento, como tambm exportado para um repositrio com os nveis de segurana adequados. Uma vez tomada a opo de usar palavras-chave nas sesses BGP (idealmente uma diferente para cada sesso), tambm importante que as tentativas de estabelecer sesses originadas do exterior e que no contenham a palavra-chave definida sejam devidamente registadas.

13

BOAS PRTICAS DE SEGURANA BGP

CHECKLIST
No manter configuradas sesses BGP com encaminhadores que deixem de estar em funcionamento. Todas as sesses no necessrias devero ser desconfiguradas; Efectue uma filtragem de rotas inbound com base na lista de redes indicada pelo seu peer (parceiro). Uma abordagem menos restrita filtrar com base nos AS-PATHs (caminhos); Os mesmos cuidados na filtragem inbound devem ser aplicados a sesses BGP com clientes; Efectue uma filtragem de routas outbound o mais estrita possvel. Este provavelmente o aspecto mais crucial da sua presena no sistema global de BGP; O acesso a encaminhadores que utilizem o protocolo BGP deve ser limitado (por exemplo atravs de ACLs); O acesso aos encaminhadores atravs de SNMP deve ser estritamente limitado s necessidades; O mecanismo de autenticao de utilizadores nos encaminhadores dever ser seguro; Estabelea sesses duplas entre dois encaminhadores, se desejar robustecer a arquitectura; Manter o software (sistema operativo) dos encaminhadores actualizado, e principalmente livre de bugs conhecidos; Estabelea um nmero limite de rotas que so aceites em cada sesso BGP; Supervisione o dimensionamento dos canais de comunicao sobre os quais esto construdas as suas sesses BGP; No caso de gerir um LIR, crie os respectivos objectos ROA atravs do LIRPORTAL do RIPE/NCC; Usar uma palavra-chave diferente para cada sesso BGP; Registar em log tentativas no autorizadas de estabelecer sesso BGP; Exportar as entradas no log dos encaminhadores para outro sistema.

14