Как защититься от Route Leak

Route Leak

Провайдеры стараются обезопасить себя от возможных утечек и хайджекинга с помощью атрибутов community и фильтров RegEx (регулярные выражения). Использование community справедливо, только когда оба маршрутизатора имеют договоренности по комьюнити. Однако чаще всего, это не работает, поскольку используется чистый BGP.

Другое применение RegEx — использовать его как очень мощный фильтр, который позволяет заглянуть в анонсы BGP и по присутствию или отсутствию определенных AS отбрасывать или, наоборот, принимать маршруты. Но нельзя предусмотреть все, поэтому лучшим и самым ответственным решением будет внимательно смотреть, что и куда вы анонсируете из своей AS.

РЕКОМЕНДУЕМ:
Изоляция трафика в Linux

Отфильтровать все лишнее

Необходимо настроить фильтрацию, чтобы префиксы, полученные от одного провайдера, не анонсировались другому и наша AS не стала транзитной.

Взгляните на пример route policy для запрета анонса сетей первого провайдера через второго:

До фильтра:

После фильтра:

Так мы получаем полный доступ к таблице маршрутизации от двух провайдеров, не став транзитной AS.

Наш пример в очередной раз доказывает, насколько опасны и непредсказуемы могут быть любые изменения в маршрутизации BGP.

РЕКОМЕНДУЕМ:
Как перехватить защищенный трафик

Мы рассмотрели route leak на очень скромном примере, однако и в глобальных сетях мировых магистральных провайдеров похожее происходит чуть ли не ежедневно. Если вам интересно, почитайте про Ростелеком, Google, AWS, Cloudflare и China Telecom.

Понравилась статья? Поделиться с друзьями:
Добавить комментарий