BGP加密穿越ASA分析

最新推荐文章于 2023-07-03 22:11:46 发布
最新推荐文章于 2023-07-03 22:11:46 发布
阅读量205 收藏
点赞数
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33937499/article/details/85086728
版权

 

首先分析没有ASA的情况:

R2:

router bgp 200
 no synchronization
 bgp router-id 2.2.2.2
 bgp log-neighbor-changes
 neighbor 192.168.12.1 remote-as 100
 neighbor 192.168.12.1 password cisco
 no auto-summary

R1:

router bgp 100
 no synchronization
 bgp router-id 1.1.1.1
 bgp log-neighbor-changes
 neighbor 192.168.12.2 remote-as 200
 neighbor 192.168.12.2 password cisco
 no auto-summary

抓包分析:

 

从上面的分析可以看出:bgp MD5验证在TCP选项中添加类型为19的选项。

在有ASA下的情况下

 

ASA:

access-list bgpacl extended permit tcp any any eq bgp
access-group bgpacl in interface outside

在R3和R4提示:

 

 

抓包分析:

 

 

通过上图可以看出发出的TCP 是正常的。

 

 

通过上图可以看出,通过ASA后选项已经被移除了。

结论:

一 双方进行BGP邻居建立时,会把自己的消息首先进行HASH,得到一个哈希值并一起发过去,并且把TCP头部中的序列号字段置为19,告诉对端要执行MD5认证。
二 防火墙默认情况下会将该选项位清除掉,因此就会导致两个对等体之间会话通信失败
三 当TCP连接穿 越防火墙时,防火墙会将原来的SYN号,清空自己生成一个新的序列号,而对于BGP的MD5认证来说,这个SYN也是其中的参数,改变之后,对端收到之后计算出来的MD5值将会不一样,同样也不能进行认证成功。(这点同样可以使用抓包验证)

问题解决:

一、 使用ACL将BGP流量匹配出来
access-list bgpacl extended permit tcp any any eq bgp
二、 定义一个TCP-map
tcp-map tcp
  tcp-options range 19 19 allow
三、 定义一个class-map
class-map bgpmd5
 match access-list bgpacl
四、 定义一个policy-map
policy-map bgp
 class bgpmd5
  set connection random-sequence-number disable
 关闭序列号扰乱
  set connection advanced-options tcp
 修改已匹配数据包TCP报头中的选项
五、 将policy-map应用到口下
service-policy bgp interface outside

这样BGP邻居就可以正常建立了

 

 

 

weixin_33937499
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BGP穿越防火墙时,两个对等体要建立BGP邻居问题处理
blakegao的专栏
10-21 2951
BGP穿越防火墙时,两个对等体要建立BGP邻居时,提示:%TCP-6-BADUTH:Invalid md5 digesc from 112168。原因主要是因为两个对等体之间的MD5认证不成功。      主要原因就是:双方进行BGP邻居建立时,会把自己的消息首先进行HASH,得到一个哈希值并一起发过去,并且把TCP头部中的序列号字段置为19,告诉对端要执行MD5认证。PIX 6.x不会
实验 | 思科 ASA BGP 配置
最新发布
网络技术联盟站
07-31 473
第一阶段是确保我们将流量发送到主连接之外,我们将使用本地偏好,但还有其他方式,例如权重,这是通过附加到 bap 邻居的路线图来完成的。在这篇文章中,我们将研究在 Cisco ASA 中使用 BGP 来允许在来自同一 ISP 的 2 个以太网连接之间进行故障转移。接下来,我们需要确保流量通过相同的主路由发回给我们,由于我们使用的是同一服务提供商,因此我们可以使用 MED,更可靠的方法是。,但请注意,此时它未附加到接口,我们可以通过使用。首先是选择我们的宣告前缀,我使用的是。第 1 阶段 - 设置路由器。
网络安全篇 BGP密钥认证穿越ASA-27
佐德将军的博客
02-26 716
目录 一、实验原理 二、实验拓扑 三、实验步骤 四、实验过程 总结 实验难度 3 实验复杂度 3 一、实验原理 二、实验拓扑 三、实验步骤 四、实验过程 总结
增强BGP的安全性的三种方法:MD5认证、Keychain认证、BGP GTSM功能
网络技术联盟站
07-03 815
以上就是关于华为网络设备配置BGP安全性的详细说明,包括MD5认证、Keychain认证和BGP GTSM功能的操作步骤。这些配置选项将有助于增强BGP协议的安全性,并保护网络免受潜在的攻击。
华为 BGP认证功能
艺博东的博客
03-21 8780
忍一时风平浪静,退一步海阔天空。 文章目录 一、拓扑 二、基础配置 三、BGP的数据包 四、BGP的邻居状态机 BGP是一种运行在AS之间的动态路由协议,具备强大的路径限制能力,这也是使得BGP协议能够管理超大大型网络。 simple与cipher可一起使用,但是显示的类型不一样。 Cipher 密钥加密;simple明文。加密需要密钥一致。
Cisco ASA关闭特定连接的TCP序列号扰乱
funnycoffee123的博客
09-16 396
ASA(config)# access-list preserve-sq-no extended permit tcp any host 10.2.2.2 ASA(config)# class-map no-tcp-random ASA(config-cmap)# match access-list preserve-sq-no ASA(config)# policy-map global_policy ASA(config-pmap)# class preserve-sq-no ASA(config-pm
BGP原理分析
07-19
外部网关协议BGP原理分析PPT,文档,资料...................
BGP真实案例案例分析.docx
12-22
BGP 真实案例案例分析 BGP(Border Gateway Protocol,边界网关协议)是一种自治系统(Autonomous System,AS)之间的路由协议。它可以在自治系统之间创建无环路域间路由。AS 是同处一个技术管理之下的路由器集合。...
bgp案例分析实验报告
07-20
对于bgp的一些常见案例进行整合,供广大网友学习。
基于CACTI的BGP多路径数据监测分析
03-01
针对BGP缺乏有效的多路径实现的问 题,设计并实现了一个基于CACTI的BGP多路径数据监测分析平台,通过给BGP协议配置多出口鉴别(MED)属性,利用BGP路由表及CACTI流量 监测图,在实验平台上实现了对MED策略路由的验证....
BGP实验一分析(hcip)
01-20
目录  拓扑设计  拓扑搭建  配置 ...[r3-bgp]peer 2.2.2.2 connect-interface LoopBack 1 //IBG内部采用环回建立邻居关系,因为IBGP内部存在备份和负载,如果有动荡,不影响BGP.  [r3-bgp
ASA对TCP序列号扰乱测试
weixin_33974433的博客
09-30 309
一.概述: 听了yeslab的秦珂老师的ASA的课程,讲到ASA对TCP的随机初始化序列号扰乱功能,于是搭建环境进行测试,发现其实不仅对TCP初始化的序列号进行扰乱,对后续的TCP包序列号也会进行扰乱。----后记:听了后面的教程,才知道之所以叫初始化序列号扰乱,是因为后续的变化都基于初始的序列号之上的,比如未扰乱前第一个SYN包ISN序列号为A,第四个包的序列号为B,扰乱后的第一个SYN包ISN...
BGP劫持原理及如何防御
AIwenIPgeolocation的博客
09-27 625
BGP用于在不同的自治系统(AS)之间交换路由信息,当两个AS需要交换路由信息时,每个AS都必须指定一个运行BGP的节点,来代表AS与其他的AS交换路由信息。
ASABGP
weixin_34087503的博客
11-19 119
BGP MD5认证穿越ASA建立bgp邻居关系 R1配置; no synchronization bgp log-neighbor-changes network 0.0.0.0 neighbor 1.1.2.2 remote-as 100 neighbor 1.1.2.2 pa...
关于BGP邻居的密码认证
blakegao的专栏
09-04 6401
一个例子:R1 R2已经建立BGP邻居,此时在R1上启用密码认证,由于R2还没有启用密码,使得R1上不断提示Md5认证信息不匹配,此时使用硬重置所有邻居,然后在R2上立即启用密码,这时R1会使用心得tcp连接R2,在show tcp brief中可以看到R1的原连接处于FIN_WAIT1状态,R2的原连接处于LAST_ACK状态,持续大约一分多钟,之后旧连接被清除,两者新的连接由于都配置了密码
BGP安全特性(华为设备)
tushanpeipei的博客
01-19 1850
安全特性概述: MD5BGP使用TCP作为传输层协议,为提高BGP的安全性,可以在建立TCP连接时进行MD5认证。但BGPMD5认证并不能对BGP报文认证,它只是为TCP连接设置MD5认证密码,由TCP完成认证。如果认证失败,则不建立TCP连接。对于认证,不会立刻断开邻居关系,而是像ISIS一样,一旦无法识别对方的认证,但是无法立刻断开,而是需要等待hold时间之后断开邻居关系。 GTSM(Generalized TTL Security Mechanism):GTSM通过检测IP报文头中的TTL值
配置CISCO ASA With BGP 实例
weixin_33845881的博客
04-05 291
配置CISCO ASA With BGP 实例 详细配置见附件
Linux下使用GPG加密解密的说明及示例
cnhome的专栏
06-15 9217
1、生成密钥对:gpg –gen-key 为用户生成新密钥对。需提供:密钥类型(默认为RSA/RSA);密钥长度(以位为单位,越长越强);过期时间(以防密钥损坏);(通常我都是一路回车过去)接下来的还是要填一填的:名称、电子邮箱、标识密钥所有者的注释;密码短语(必须提供,如果私钥被盗,将无法使用)。 2、列出公钥:gpg –list-keys 列出所拥有的公钥:他们自己的公钥以及从与之通信的其

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值