网络安全篇 BGP密钥认证穿越ASA-27

最新推荐文章于 2024-03-18 23:08:02 发布
最新推荐文章于 2024-03-18 23:08:02 发布
阅读量713 收藏 1
点赞数
分类专栏: 网络安全 文章标签: ASA防火墙 密钥认证BGP穿越ASA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_37171673/article/details/113999730
版权

目录

一、实验原理

二、实验拓扑

三、实验步骤

四、实验过程

总结

实验难度2
实验复杂度3

 

 

 

一、实验原理

当BGP的密钥认证数据穿越ASA防火墙时,防火墙两边的BGP路由器会断开连接的,其中一个原因就因为ASA防火墙有一个序列号扰乱功能。BGP它是基于TCP179端口进行传输路由信息,它们的数据报文中,在TCP的序列号会被防火墙扰乱,也许有人会觉得这个序列号扰乱跟BGP建立BGP密钥认证连接有关系吗?答案是,有很大的关系。这里不得不说的一个BGP的认证过程了,我们的上层数据会被配置的密钥结合起来一起做128比特的哈希(是数据与配置的密钥),得到的一个哈希值,这个数据是放在TCP的Option选项里面的(这个字段在学习TCP/IP协议的时候会有的,不懂的可以去看看我网络篇的TCP/IP的内容)。好了,现在我们来看一下BGP密钥认证信息穿越ASA防火墙时会有什么问题,首先这个序列号被扰乱了,那么就导致了,接收到这个报文的BGP路由器进行哈希时无法通过认证,所以一定会失败的。其二,TCP选项中的19号位置也是需要放行的,不然也是无法通过验证。

注:

1)进行哈希时,是密钥与数据进行哈希的,最终会得到一个哈希值;

2)发送认证数据报文时,不会把密钥一起发送出去的;

3)接收验证的报文时,会把整个报文的数据与本路由器的配置密钥一起进行哈希,得到一个哈希值,这个哈希值若不与这个数据报文的哈希值一样就不会通过验证;

4)这个BGP密钥认证不是加密数据,而是实现一个身份验证而已,两边是有不同的概念。

二、实验拓扑

三、实验步骤

1.搭建如图所示的网络拓扑图;

2.初始化路由器,配置IP地址;

3.初始化ASA防火墙,防火墙名称为ASA,inside区域的安全级别为100,outside区域的安全级别为50,如图配置IP地址,测试直连网络的连通性;

4.在两台路由器上配置静态路由,下一跳都指向ASA防火墙;

5.配置一条名称为bgp的ACL,行为:放行192.168.100.1主机到192.168.1.1的主机BGP流量;

6.在R1,R2上配置iBGP路由协议100,查看BGP的汇总信息;

7.配置BGP的密钥为ccie,查看BGP的邻接情况;

8.ASA上配置class-map,名称为bgp,行为:匹配tcp的BGP协议端口,配置TCP-MAP的名称为tcp-19,TCP-OPTION的范围为19至19的允许策略;

9.ASA上配置policy-map,名称为global_policy,调用bgp类,行为:关闭序列号扰乱功能与配置关联TCP-MAP。

 

四、实验过程

1.搭建如图所示的网络拓扑图;

可以使用EVE或GNS 3来搭建,过程略;

2.初始化路由器,配置IP地址;

略。

3.初始化ASA防火墙,防火墙名称为ASA,inside区域的安全级别为100,outside区域的安全级别为50,如图配置IP地址,测试直连网络的连通性;

测试:

4.在两台路由器上配置静态路由,下一跳都指向ASA防火墙;

5.配置一条名称为bgp的ACL,行为:放行192.168.100.1主机到192.168.1.1的主机BGP流量;

6.在R1,R2上配置iBGP路由协议100,查看BGP的汇总信息;

查看BGP的汇总信息:

7.配置BGP的密钥为ccie,查看BGP的邻接情况;

查看BGP的邻接情况:现在可以看到R2出现的报错信息是没有发现来看192.168.1.1的MD5哈希值

8.ASA上配置class-map,名称为bgp,行为:匹配tcp的BGP协议端口,配置TCP-MAP的名称为tcp-19,TCP-OPTION的范围为19至19的允许策略;

9.ASA上配置policy-map,名称为global_policy,调用bgp类,行为:关闭序列号扰乱功能与配置关联TCP-MAP。

现在我们来查看一下这个BGP的情况:

BGP现在又可以建立邻接关系了,说明我们的配置生效了。

代码解析:

R2(config)#do show ip bgp summary   //查看BGP的简要汇总信息,里面有邻居的IP地址、相关的版本号、邻居的AS号等

ASA(config)# class-map bgp          //建立一个类映射策略,名称为bgp
ASA(config-cmap)# match port tcp eq bgp    //匹配tcp协议的BGP端口(这个是179)
ASA(config-cmap)# tcp-map tcp-19   //配置tcp映射的名称为tcp-19
ASA(config-tcp-map)# tcp-options range 19 19 allow    //tcp-option中的行为是允许19至19号的位置数据
ASA(config-tcp-map)# exit
ASA(config)# policy-map global_policy   //进入默认的global_policy策略
ASA(config-pmap)# class bgp    //调用bgp类
ASA(config-pmap-c)# set connection random-sequence-number disable   //关闭序列号扰乱功能 
ASA(config-pmap-c)# set connection advanced-options tcp-19    //调用tcp映射策略名称

总结

本章节的实验难度适中,但是这个原理却不好理解,这个涉及到了MD5哈希过程(身份验证)、ASA序列号扰乱等方面的内容,不过这些内容接触的多了,自然会有更深理解的。好了,我们在下一个章节再见,加油!

公子绝
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
bgp 对等体认证配置详解
qq_43210022的博客
06-11 963
实验目的:掌握基于md5的bgp对等体认证配置 实验拓扑:步骤1:接口ip配置 bgp基础配置 查看bgp对等体关系建立情况 测试网络联通性 查看路由表 配置R1路由器的BGP认证 在配置完R1的BGP认证,IOS会直接提示如下信息: 查看R1和R2的路由表以及BGP的数据库,此时R1和R2路由器BGP协议,已经释放了原先学习到的BGP网络路由: 查看R2的汇总信息 配置R2的BGP认证码: 当在R2上配置完BGP认证码后,R1或是R2路由器IOS提示如下信
HCIP-IERS 部署企业级路由交换网络 - HCIP分解实验 - BGP&fake-as
08-24
HCIP-IERS 部署企业级路由交换网络 - HCIP分解实验 - BGP&fake-as
边界网关协议BGP实践课(16)—MD5认证和Keychain认证
onme0的博客
01-18 503
MD5算法配置简单,配置后生成单一码,需要人为干预才可以更换码。keychain是加规则(key)的集合,用来为应用程序提供动态认证功能。keychain在不中断业务的前提下,通过定期更改用于认证和算法来提升网络数据传输的全性。一个keychain中的不同key可配置各自的认证认证算法和生命周期。key由认证认证算法和生命周期三部分组成。一个keychain中不同key的认证认证算法和生命周期可以不同。
BGP穿越ASA分析
weixin_33937499的博客
06-19 205
  首先分析没有ASA的情况: R2: router bgp 200  no synchronization  bgp router-id 2.2.2.2  bgp log-neighbor-changes  neighbor 192.168.12.1 remote-as 100  neighbor 192.168.12.1 password cisco  no auto-s...
华为 BGP认证功能
艺博东的博客
03-21 8754
忍一时风平浪静,退一步海阔天空。 文章目录 一、拓扑 二、基础配置 三、BGP的数据包 四、BGP的邻居状态机 BGP是一种运行在AS之间的动态路由协议,具备强大的路径限制能力,这也是使得BGP协议能够管理超大大型网络。 simple与cipher可一起使用,但是显示的类型不一样。 Cipher ;simple明文。加需要一致。
BGP认证功能
qq_63540264的博客
03-22 890
BGP基于单一码的BGP认证和基于Keychain 的BGP认证
网络系统管理-BGP笔记总结
10-21
边界网关协议(BGP)是运行于 TCP 上的一种自治系统的路由协议。 BGP 是唯一一个用来处理像因特网大小的网络的协议,也是唯一能够妥善处理好不相关路由域间的多路连接的协议。 BGP 构建在 EGP 的经验之上。
网络大爬虫BGP专题
05-26
H3C专家早年编写的BGP基础教程,非常想学习BGP的同学入门
HCIP-IERS 部署企业级路由交换网络 - HCIP分解实验 - BGP基本配置 & BGP认证
08-24
HCIP-IERS 部署企业级路由交换网络 - HCIP分解实验 - BGP基本配置 & BGP认证
基于IBC机制的内容中心网络认证方案
01-27
针对内容中心网络(CCN)面临的全性问题,提出一种基于身份标识码(IBC)体系的认证方案。首先,IBC通过CCN的公对请求数据包进行加,使用发布者的私进行签名,通过相互解比对实现CCN和发布者之间的相互...
cisco bgp 配置宝典
08-06
cisco路由器的BGP配置参考,命令的详细解释
BGP 案例专题九篇(配图) + 详细验证过程
weixin_33910434的博客
11-04 250
一、操作BGP路由过滤(基于路由条目)实际案例(配图+详细验证过程) 二、操纵BGP路由过滤(基于AS-PATH)实际案例(配图+详细验证过程) 三、BGP后门链路(Backdoor)实际案例(配图+详细验证过程 四、操纵BGP路径选择---local preference属性案例(配图+详细验证过程) 五、操纵BGP AS-PATH 属性案例(配图+详细验证过程...
BGP 认证功能
weixin_44551911的博客
01-19 1757
BGP是一种运行在AS之间的动态路由协议,具备强大的路径选择能力,这也使得BGP协议能够管理超大型网络。对于大型网络来说,路由的稳定性和全性尤为重要。路由协议的报文一般都是明文发送的,如果网络攻击者伪造路由更新报文,或者篡改路由更新报文,就会造成严重的网络全问题。因此在实际部署各种路由协议时,通常会配置认证功能。所谓认证,就是指路由器对路由信息来源的可靠性及路由信息本身的完整性进行检测的机制。 BGP支持简单的认证方式,也支持全性更高的MD5认证方式。如果是MD5认证方式,路由器会根据BGP报文的
HCIP—BGP认证功能
恭喜你发现了我!!!!
03-18 1235
BGP是一种运行在AS之间的动态路由协议,具备强大的路径选择能力,这也使得BGP协议能够管理超大型网络BGP支持简单的认证方式,也支持全性更高的MD5认证方式。如果是MD5认证方式,路由器会根据BGP报文的某些字段和计算出一个128比特的散列值,然后将BGP报文连同散列值发送给邻居。邻居路由器收到之后,会在本地基于接收到的BGP报文和相同的再进行一次Hash运算。如果计算出的散列值与接收到的散列值相同,则认证通过,邻居关系能够正常建立;
28-高级路由:BGP认证
weixin_33721427的博客
07-07 302
一、实验拓扑: 二、实验要求:1、在R1、R2 BGP进程下部署认证;2、验证:当只有R1部署认证时候,邻居建立会失败;3、验证:R1、R2都部署认证,邻居会起来,而且认证包放在TCP——>Options 19里边。 三、命令部署:R1(config)#router bgp 1R1(config-router)#neighbor 12.1.1.2 remote-as 24R1(config-...
BGP 4字节AS&BGP认证
Ddfgxfgg的博客
03-04 201
BGP 4字节AS&&BGP认证
ASA和BGP
weixin_34087503的博客
11-19 119
BGP MD5认证穿越ASA建立bgp邻居关系 R1配置; no synchronization bgp log-neighbor-changes network 0.0.0.0 neighbor 1.1.2.2 remote-as 100 neighbor 1.1.2.2 pa...
BGP-OSPF-ISIS-RIP
最新发布
06-06
BGP, OSPF, ISIS, 和 RIP 是四种常见的网络路由协议,它们在互联网和大型网络中被用来交换路由信息,决定数据包如何从源地址到目标地址进行最优路径的选择。 1. **Border Gateway Protocol (BGP)**: BGP 是一种外部...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

公子绝

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值