BGP加密穿越ASA分析
2012-06-19 09:22
831 查看
首先分析没有ASA的情况:
R2:
router bgp 200
no synchronization
bgp router-id 2.2.2.2
bgp log-neighbor-changes
neighbor 192.168.12.1 remote-as 100
neighbor 192.168.12.1 password cisco
no auto-summary
R1:
router bgp 100
no synchronization
bgp router-id 1.1.1.1
bgp log-neighbor-changes
neighbor 192.168.12.2 remote-as 200
neighbor 192.168.12.2 password cisco
no auto-summary
抓包分析:
从上面的分析可以看出:bgp MD5验证在TCP选项中添加类型为19的选项。
在有ASA下的情况下
ASA:
access-list bgpacl extended permit tcp any any eq bgp
access-group bgpacl in interface outside
在R3和R4提示:
抓包分析:
通过上图可以看出发出的TCP 是正常的。
通过上图可以看出,通过ASA后选项已经被移除了。
结论:
一 双方进行BGP邻居建立时,会把自己的消息首先进行HASH,得到一个哈希值并一起发过去,并且把TCP头部中的序列号字段置为19,告诉对端要执行MD5认证。
二 防火墙默认情况下会将该选项位清除掉,因此就会导致两个对等体之间会话通信失败
三 当TCP连接穿 越防火墙时,防火墙会将原来的SYN号,清空自己生成一个新的序列号,而对于BGP的MD5认证来说,这个SYN也是其中的参数,改变之后,对端收到之后计算出来的MD5值将会不一样,同样也不能进行认证成功。(这点同样可以使用抓包验证)
问题解决:
一、 使用ACL将BGP流量匹配出来
access-list bgpacl extended permit tcp any any eq bgp
二、 定义一个TCP-map
tcp-map tcp
tcp-options range 19 19 allow
三、 定义一个class-map
class-map bgpmd5
match access-list bgpacl
四、 定义一个policy-map
policy-map bgp
class bgpmd5
set connection random-sequence-number disable
关闭序列号扰乱
set connection advanced-options tcp
修改已匹配数据包TCP报头中的选项
五、 将policy-map应用到口下
service-policy bgp interface outside
这样BGP邻居就可以正常建立了
相关文章推荐
- Linux内核加密接口分析
- png图片结构分析与加密解密原理
- 整数上全同态加密方案分析(3)
- 腾讯Unity3D手游 dll加密分析
- JavaScript加密解密7种方法总结分析
- 非对称加密技术- RSA算法数学原理分析
- 中星九号频繁加密升级走势分析
- 常见dotNet加密保护工具分析介绍
- Android版本的”Wannacry”文件加密病毒样本分析(附带锁机)
- 网狐的加密模块,映射加密算法分析
- jsencrypt代码分析——openssl的rsa加密解密在js的实现
- 【移动安全】移动应用加密协议逆向分析成功
- 技术分析 | 新型勒索病毒Petya如何对你的文件进行加密
- 漏洞分析---SSLv3降级加密协议Padding Oracle攻击(POODLE)技术分析
- 源代码加密、源代码防泄密,的软件分析
- 常规Java工具,算法,加密,数据库,面试题,源代码分析,解决方案
- php源码分析之DZX1.5加密解密函数authcode用法
- BGP属性分析--Weight
- 腾讯Unity3D手游加密分析