One place for hosting & domains

      Comment surveiller les annonces et les itinéraires BGP en utilisant BGPalerter sur Ubuntu 18.04


      L’auteur a choisi le COVID-19 Relief Fund pour recevoir un don dans le cadre du programme Write for DOnations.

      Introduction

      BGP (Border Gateway Protocol) est l’un des principaux protocoles utilisés pour le routage des paquets sur Internet, de sorte que lorsqu’il se trompe, des pannes importantes peuvent se produire. Par exemple, en 2019, un petit FAI a effectué une mauvaise configuration de BGP qui s’est malheureusement propagée en amont et a mis hors ligne une grande partie de Cloudflare et d’AWS pendant plus d’une heure. De plus, un an plus tôt, un détournement du BGP avait eu lieu afin d’intercepter le trafic vers un fournisseur bien connu de portefeuille de crypto-monnaie et de voler les fonds de clients peu méfiants.

      BGPalerter est un outil de surveillance open source du réseau BGP qui peut fournir des alertes en temps réel sur l’activité du BGP, y compris la visibilité des itinéraires et l’annonce de nouveaux itinéraires, ainsi que sur les activités potentiellement néfastes telles que les détournements ou les fuites d’itinéraires. BGPalerter ingère automatiquement les informations de routage réseau disponibles au public, ce qui signifie qu’il n’a pas besoin d’avoir un niveau d’accès privilégié ou d’intégration dans le(s) réseau(x) que vous souhaitez surveiller.

      Remarque : BGPalerter ingère automatiquement les informations de routage de réseau disponibles au public, ce qui signifie qu’il n’a pas besoin d’avoir un niveau d’accès privilégié ou d’intégration dans le(s) réseau(x) que vous souhaitez surveiller. Tous les contrôles sont entièrement conformes à la loi sur l’utilisation abusive de l’informatique, à la loi sur la fraude et les abus informatiques et à d’autres lois similaires. Toutefois, il est recommandé de divulguer de manière responsable toute constatation pertinente au gestionnaire de réseau concerné.

      Dans ce tutoriel, vous allez installer et configurer BGPalerter pour surveiller vos réseaux importants afin de détecter toute activité potentiellement suspecte.

      Conditions préalables

      Pour suivre ce tutoriel, vous aurez besoin de :

      • Un serveur Ubuntu 18.04 configuré en suivant la Configuration initiale du serveur avec Ubuntu 18.04, y compris un utilisateur sudo non root.

      • Un ou plusieurs réseaux ou appareils que vous souhaitez surveiller, par exemple :

        • Un serveur dont vous êtes chargé de la maintenance
        • Le réseau de votre entreprise
        • Votre FAI local

      Pour chaque appareil ou réseau, vous devrez identifier soit l’adresse IP individuelle, soit la plage d’adresses IP, soit le numéro du système autonome dont il fait partie. Cette opération est couverte dans l’Étape 1.

      Une fois que tout cela est prêt, connectez-vous à votre serveur en tant qu’utilisateur non root pour commencer.

      Étape 1 — Identification des réseaux à surveiller

      Au cours de cette étape, vous identifierez les détails pertinents des réseaux que vous souhaitez surveiller.

      BGPalerter peut effectuer un suivi sur la base d’adresses IP individuelles ou de préfixes de réseau. Il peut également surveiller des réseaux entiers sur la base de leur numéro de système autonome (SA), qui est un identifiant unique au niveau mondial pour un réseau appartenant à une entité administrative particulière.

      Pour trouver ces informations, vous pouvez utiliser le IP-to-ASN WHOIS lookup service fourni par le service de renseignements sur les menaces Team Cymru. Il s’agit d’un serveur WHOIS personnalisé conçu pour la recherche d’adresses IP et d’informations sur le routage du réseau.

      Si vous n’avez pas encore installé whois, vous pouvez le faire en utilisant les commandes suivantes :

      • sudo apt update
      • sudo apt install whois

      Une fois que vous avez confirmé que whois a été installé, commencez par rechercher l’adresse IP de votre propre serveur, en utilisant l’argument -h pour spécifier un serveur personnalisé :

      • whois -h whois.cymru.com your-ip-address

      Vous obtiendrez alors une sortie similaire à celle qui suit, qui indique le nom et le numéro du SA dont votre serveur fait partie. Il s’agit généralement du SA de votre fournisseur d’hébergement de serveur, par exemple, DigitalOcean.

      Output

      AS | IP | AS Name 14061 | your-ip-address | DIGITALOCEAN-ASN, US

      Ensuite, vous pouvez effectuer une recherche pour identifier le préfixe/la plage de réseau dont votre serveur fait partie. Pour ce faire, vous devez ajouter l’argument -p à votre demande :

      • whois -h whois.cymru.com " -p your-ip-address"

      La sortie sera très similaire à la commande précédente, mais affichera désormais le préfixe de l’adresse IP à laquelle appartient l’adresse IP de votre serveur :

      Output

      AS | IP | BGP Prefix | AS Name 14061 | your-ip-address | 157.230.80.0/20 | DIGITALOCEAN-ASN, US

      Enfin, vous pouvez consulter d’autres détails sur le SA dont votre serveur fait partie, notamment la région géographique et la date d’attribution.

      Modifiez le numéro SA que vous avez identifié en utilisant les commandes précédentes. Vous utilisez l’argument -v pour permettre une sortie verbeuse, ce qui garantit que tous les détails pertinents sont affichés :

      • whois -h whois.cymru.com " -v as14061"

      La sortie affichera de plus amples informations sur le SA :

      Output

      AS | CC | Registry | Allocated | AS Name 14061 | US | arin | 2012-09-25 | DIGITALOCEAN-ASN, US

      Vous avez identifié les principaux détails concernant le(s) réseau(x) que vous souhaitez surveiller. Prenez note de ces détails quelque part, car vous en aurez besoin plus tard. Ensuite, vous commencerez la configuration de BGPalerter.

      Étape 2 — Création d’un utilisateur sans privilège pour BGPalerter

      Au cours de cette étape, vous allez créer un nouveau compte utilisateur sans privilège pour BGPalerter, car le programme n’a pas besoin de fonctionner avec les privilèges sudo/root.

      Tout d’abord, créez un nouvel utilisateur avec un mot de passe désactivé :

      • sudo adduser --disabled-password bgpalerter

      Vous n’avez pas besoin de définir un mot de passe ou des clés SSH, car vous utiliserez cet utilisateur uniquement comme compte de service pour l’exécution/la maintenance de BGPalerter.

      Connectez-vous au nouvel utilisateur à l’aide de su :

      Vous êtes maintenant connecté en tant que nouvel utilisateur :

      bgpalerter@droplet:/home/user$
      

      Utilisez la commande cd pour vous déplacer vers le répertoire d’accueil de votre nouvel utilisateur :

      bgpalerter@droplet:/home/user$ cd
      bgpalerter@droplet:~$
      

      Vous avez créé un nouvel utilisateur sans privilège pour BGPalerter. Ensuite, vous installerez et configurerez BGPalerter sur votre système.

      Étape 3 — Installation et configuration de BGPalerter

      Au cours de cette étape, vous allez installer et configurer BGPalerter. Assurez-vous d’être toujours connecté en tant que nouvel utilisateur sans privilège.

      Tout d’abord, vous devez identifier la dernière version de BGPalerter, afin de vous assurer que vous téléchargez la version la plus récente. Naviguez vers la page BGPalerter Releases et sélectionnez une copie du lien de téléchargement de la version Linux x64 la plus récente.

      Vous pouvez maintenant télécharger une copie de BGPalerter en utilisant wget, en vous assurant de substituer le bon lien de téléchargement :

      • wget https://github.com/nttgin/BGPalerter/releases/download/v1.24.0/bgpalerter-linux-x64

      Une fois le téléchargement du fichier terminé, marquez-le comme exécutable :

      • chmod +x bgpalerter-linux-x64

      Ensuite, vérifiez que BGPalerter a été téléchargé et installé avec succès en vérifiant le numéro de version :

      • ./bgpalerter-linux-x64 --version

      Le numéro de la version actuelle sera alors affiché :

      Output

      1.24.0

      Avant de pouvoir exécuter correctement BGPalerter, vous devez définir les réseaux que vous souhaitez surveiller dans un fichier de configuration. Créez et ouvrez le fichier prefixes.yml dans votre éditeur de texte préféré :

      Dans ce fichier de configuration, vous spécifierez chacune des adresses IP individuelles, des plages d’adresses IP et des numéros SA que vous souhaitez surveiller.

      Ajoutez l’exemple suivant et ajustez les valeurs de configuration selon les besoins, en utilisant les informations réseau que vous avez identifiées à l’Étape 1 :

      ~/prefixes.yml

      your-ip-address/32:
        description: My Server
        asn:
          - 14061
        ignoreMorespecifics: false
      
      157.230.80.0/20:
        description: IP range for my Server
        asn:
          - 14061
        ignoreMorespecifics: false
      
      options:
        monitorASns:
          '14061':
            group: default
      

      Vous pouvez surveiller autant de plages d’adresses IP ou de numéros SA que vous le souhaitez. Pour surveiller les adresses IP individuelles, représentez-les en utilisant /32 pour IPv4, et /128 pour IPv6.

      La valeur ignoreMorespecifics est utilisée pour contrôler si BGPalerter doit ignorer l’activité pour les itinéraires qui sont plus spécifiques (plus petits) que celui que vous surveillez. Par exemple, si vous surveillez un /20 et qu’un changement de routage est détecté pour un /24 à l’intérieur de celui-ci, cela est considéré comme plus spécifique. Dans la plupart des cas, vous ne voulez pas les ignorer, mais si vous surveillez un grand réseau avec plusieurs préfixes clients délégués, cela peut contribuer à réduire le bruit de fond.

      Vous pouvez maintenant lancer BGPalerter pour la première fois, afin de commencer à surveiller vos réseaux :

      Si BGPalerter démarre avec succès, vous obtiendrez une sortie similaire à celle qui suit. Notez qu’il faut parfois quelques minutes pour que la surveillance commence :

      Output

      Impossible to load config.yml. A default configuration file has been generated. BGPalerter, version: 1.24.0 environment: production Loaded config: /home/bgpalerter/config.yml Monitoring 157.230.80.0/20 Monitoring your-ip-address/32 Monitoring AS 14061

      BGPalerter continuera de fonctionner jusqu’à ce que vous l’arrêtiez en utilisant Ctrl+C.

      Dans l’étape suivante, vous interpréterez certaines des alertes que BGPalerter peut générer.

      Étape 4 — Interprétation des alertes BGPalerter

      Dans cette étape, vous allez examiner quelques exemples d’alertes BGPalerter. BGPalerter émettra des alertes sur le flux de sortie principal, ainsi qu’en option sur tout autre point final de rapport pouvant être configuré dans config.yml, comme décrit dans la documentation de BGPalerter.

      Par défaut, BGPalerter surveille et alerte sur les points suivants :

      • Détournement d’itinéraire : se produit lorsqu’un SA annonce un préfixe qu’il n’est pas autorisé à utiliser, ce qui entraîne un acheminement erroné du trafic. Il peut s’agir soit d’une attaque délibérée, soit d’une erreur de configuration accidentelle.

      • Perte de visibilité de l’itinéraire : un itinéraire est considéré comme visible lorsqu’une majorité de routeurs BGP sur Internet sont capables de l’atteindre de manière fiable. La perte de visibilité signifie que votre réseau est potentiellement indisponible, par exemple si votre peering BGP a cessé de fonctionner.

      • Annonces de nouveaux sous-préfixes : renvoie au moment où un SA commence à annoncer un préfixe plus petit que ce qui est prévu. Cela peut être le signe d’un changement de configuration prévu, d’une mauvaise configuration accidentelle ou, dans certains cas, d’une attaque.

      • Activité au sein de votre SA : fait généralement référence aux annonces de nouveaux itinéraires. Un itinéraire est considéré comme “nouveau” si BGPalerter ne le connaît pas encore.

      Vous trouverez ci-dessous quelques exemples d’alertes, ainsi qu’une brève description de leur signification :

      Alert #1

      The prefix 203.0.113.0/24 is announced by AS64496 instead of AS65540
      

      Cette alerte montre la preuve d’un détournement d’itinéraire, où l’AS64496 a annoncé 203.0.113.0/24 alors qu’il est prévu que ce itinéraire soit annoncé par l’AS65540. C’est un indicateur fort d’une mauvaise configuration menant à une fuite d’itinéraire, ou à un détournement délibéré par un agresseur.

      Alert #2

      The prefix 203.0.113.0/24 has been withdrawn. It is no longer visible from 6 peers
      

      Cette alerte montre que le réseau 203.0.113.0/24 n’est plus visible. Cela peut être dû à un problème de routage en amont, ou à une panne de courant sur un routeur.

      Alert #3

      A new prefix 203.0.113.0/25 is announced by AS64496. It should be instead 203.0.113.0/24 announced by AS64496
      

      Cette alerte montre qu’un préfixe plus spécifique a été annoncé là où il n’est pas prévu, par exemple en annonçant un /25 alors que seul un /24 est prévu. Il s’agit très probablement d’une mauvaise configuration, mais dans certains cas, cela pourrait être la preuve d’un détournement d’itinéraire.

      Alert #4

      AS64496 is announcing 192.0.2.0/24 but this prefix is not in the configured list of announced prefixes
      

      Enfin, cette alerte montre que l’AS64496 a annoncé un préfixe dont BGPalerter n’a pas encore connaissance. Cela pourrait être dû au fait que vous annoncez légitimement un nouveau préfixe, ou cela pourrait être le signe d’une mauvaise configuration qui vous amènerait à annoncer accidentellement un préfixe appartenant à quelqu’un d’autre.

      Dans cette étape, vous avez passé en revue quelques exemples d’alertes BGPalerter. Ensuite, vous configurerez BGPalerter pour qu’il s’exécute automatiquement au démarrage.

      Étape 5 — Démarrage de BGPalerter au démarrage

      Lors de cette dernière étape, vous configurerez BGPalerter pour qu’il se lance au démarrage.

      Assurez-vous que vous êtes toujours connecté en tant que nouvel utilisateur sans privilège, puis ouvrez l’éditeur crontab :

      Ensuite, ajoutez l’entrée suivante au bas du fichier crontab :

      crontab

      @reboot sleep 10; screen -dmS bgpalerter "./bgpalerter-linux-x64"
      

      À chaque fois que votre système démarrera, cela créera une session d'écran détachée appelée “bgpalerter”, et lancera BGPalerter dans cette session.

      Sauvegardez et quittez l’éditeur crontab. Vous souhaitez peut-être désormais redémarrer votre système afin de vous assurer que BGPalerter est correctement lancé au démarrage.

      Vous devez d’abord vous déconnecter de votre utilisateur BGPalerter :

      Ensuite, procédez à un redémarrage normal du système :

      Une fois que votre système a redémarré, reconnectez-vous à votre serveur et utilisez su pour accéder à nouveau à votre utilisateur BGPalerter :

      Vous pouvez alors vous joindre à la session à tout moment afin de visualiser les résultats de BGPalerter :

      Lors de cette dernière étape, vous avez configurer BGPalerter pour qu’il se lance au démarrage.

      Conclusion

      Dans cet article, vous avez configuré BGPalerter et l’avez utilisé pour surveiller les réseaux afin de détecter les changements de routage BGP.

      Si vous souhaitez rendre BGPalerter plus facile à utiliser, vous pouvez le configurer pour envoyer des alertes à un canal Slack via un webhook :

      Si vous souhaitez en savoir plus sur le BGP lui-même, mais que vous n’avez pas accès à un environnement de production de BGP, vous pouvez utiliser DN42 pour expérimenter le BGP dans un environnement sûr et isolé :



      Source link

      Como monitorar comunicados e rotas via protocolo BGP usando o BGPalerter no Ubuntu 18.04


      O autor selecionou a COVID-19 Relief Fund​​​​​ para receber uma doação como parte do programa Write for DOnations.

      Introdução

      O BGP (Border Gateway Protocol) é um dos protocolos mais importantes, responsável pelo roteamento de pacotes pela Internet. Assim, quando ele apresenta problemas, falhas significativas podem ocorrer. Por exemplo, em 2019, um pequeno ISP fez uma configuração de BGP erroneamente e isso, infelizmente, se propagou em ramificação ascendente e fez com que grandes porções do Cloudflare e AWS ficassem off-line por mais de uma hora. Além disso, um ano antes, um sequestro BGP foi executado para interceptar tráfego para um provedor de carteira de criptomoedas e roubar os fundos de clientes de clientes desavisados.

      O BGPalerter é um instrumento de monitoramento de rede BGP de código aberto que pode fornecer alertas em tempo real sobre a atividade BGP, incluindo a visibilidade de rota e novos comunicados de rota, bem como atividades potencialmente danosas, como o sequestro ou vazamento de rota. O BGPalerter absorve automaticamente informações de roteamento de rede disponíveis publicamente, o que significa que ele não precisa ter nenhum nível de acesso privilegiado ou integração na(s) rede(s) que você deseja monitorar.

      Nota: o BGPalerter absorve automaticamente informações de roteamento de rede disponíveis publicamente, o que significa que ele não precisa ter nenhum nível de acesso privilegiado ou integração na(s) rede(s) que você deseja monitorar. Todo o monitoramento está em total conformidade com a Lei de uso indevido de computadores, a Lei de fraude e abuso de computador, além de outras leis semelhantes. No entanto, é recomendável divulgar de maneira responsável quaisquer achados relevantes para o operador de rede afetado.

      Neste tutorial, você instalará e configurará o BGPalerter para monitorar suas redes importantes, buscando por qualquer atividade potencialmente suspeita.

      Pré-requisitos

      Para completar este tutorial, você precisará de:

      • Um servidor Ubuntu 18.04 configurado seguindo a Configuração inicial de servidor com o Ubuntu 18.04, incluindo um usuário sudo não raiz.

      • Um ou mais redes ou dispositivos que você deseja monitorar, como por exemplo:

        • Um servidor que você mantenha
        • A rede de sua empresa
        • Seu provedor de internet (ISP) local

      Para cada dispositivo ou rede, você precisará identificar o endereço IP individual, o intervalo de endereços IP, ou o número do sistema autônomo que esse item faz parte. O processo é abordado no Passo 1.

      Assim que tiver tudo pronto, faça login no seu servidor como usuário não raiz para começar.

      Passo 1 — Identificando as redes para monitorar

      Neste passo, você identificará os detalhes relevantes das redes que deseja monitorar.

      O BGPalerter pode monitorar com base em endereços IP individuais ou prefixes de rede. Ele também pode monitorar redes inteiras ba com base em seu número autônomo de sistema (AS, do inglês Autonomous System), que é um identificador global único para uma rede de propriedade de uma entidade administrativa em particular.

      Para encontrar essas informações, utilize o serviço de procura IP-to-ASN WHOIS fornecido pelo serviço de inteligência de ameaças Team Cymru. Ele é um servidor WHOIS personalizado, projetado para procurar endereços IP e informações de roteamento de rede.

      Caso ainda não tenha o whois instalado, instale-o usando os seguintes comandos:

      • sudo apt update
      • sudo apt install whois

      Assim que você tiver confirmado que o whois está instalado, comece o processo executando uma pesquisa pelo endereço IP do seu próprio servidor, usando o argumento -h para especificar um servidor personalizado:

      • whois -h whois.cymru.com your-ip-address

      Isso gerará um resultado parecido com este abaixo, que mostra o nome e o número AS do qual seu servidor faz parte. Geralmente, esse será o AS do seu provedor de hospedagem de servidor, como por exemplo, a DigitalOcean.

      Output

      AS | IP | AS Name 14061 | your-ip-address | DIGITALOCEAN-ASN, US

      Em seguida, execute uma pesquisa para identificar o prefixo/intervalo da rede de que seu servidor faz parte. Faça isso adicionando o argumento -p ao seu pedido:

      • whois -h whois.cymru.com " -p your-ip-address"

      O resultado será muito parecido com o comando anterior, mas agora exibirá o prefixo de endereço IP ao qual o endereço IP do seu servidor pertence:

      Output

      AS | IP | BGP Prefix | AS Name 14061 | your-ip-address | 157.230.80.0/20 | DIGITALOCEAN-ASN, US

      Por fim, você pode pesquisar mais detalhes do AS que seu servidor faz parte, incluindo a região geográfica e a data de alocação.

      Substitua o número AS acima por aquele que você identificou usando os comandos anteriores. Use o argumento -v para habilitar o resultado detalhado, que garante que todos os detalhes relevantes sejam mostrados:

      • whois -h whois.cymru.com " -v as14061"

      O resultado mostrará mais informações sobre o AS:

      Output

      AS | CC | Registry | Allocated | AS Name 14061 | US | arin | 2012-09-25 | DIGITALOCEAN-ASN, US

      Você identificou detalhes fundamentais sobre a(s) rede(s) que deseja monitorar. Anote esses detalhes em algum lugar, pois você precisará deles mais tarde. Em seguida, você iniciará a configuração do BGPalerter.

      Passo 2 — Criando um usuário não privilegiado para o BGPalerter

      Neste passo, você criará uma nova conta de usuário não privilegiado para o BGPalerter, pois o programa não precisa ser executado com privilégios sudo/raiz.

      Primeiro, crie um novo usuário com uma senha desativada:

      • sudo adduser --disabled-password bgpalerter

      Você não precisa configurar uma senha ou chaves SSH, pois usará esse usuário apenas como uma conta de serviço para executar/manter o BGPalerter.

      Faça login no novo usuário usando su:

      Agora, você estará logado com o novo usuário:

      bgpalerter@droplet:/home/user$
      

      Use o comando cd para ir para o diretório home do seu novo usuário:

      bgpalerter@droplet:/home/user$ cd
      bgpalerter@droplet:~$
      

      Você criou um novo usuário não privilegiado para o BGPalerter. Em seguida, instalará e configurará o BGPalerter em seu sistema.

      Passo 3 — Instalando e configurando o BGPalerter

      Neste passo, você instalará e configurará o BGPalerter. Certifique-se de que você ainda esteja logado com seu novo usuário sem privilégios.

      Primeiro, você precisa identificar a versão mais recente do BGPalerter, para garantir que você baixe a versão mais atual. Navegue até a página das Versões do BGPalerter e pegue uma cópia do link de download da versão mais recente para o Linux x64.

      Agora, baixe uma cópia do BGPalerter usando o wget, certificando-se de colocar o link de download correto:

      • wget https://github.com/nttgin/BGPalerter/releases/download/v1.24.0/bgpalerter-linux-x64

      Assim que o arquivo terminar de ser baixado, marque-o como executável:

      • chmod +x bgpalerter-linux-x64

      Em seguida, verifique se o BGPalerter foi baixado e instalado com sucesso verificando o número da versão:

      • ./bgpalerter-linux-x64 --version

      Isso gerará como saída o número da versão atual:

      Output

      1.24.0

      Antes de executar o BGPalerter corretamente, você precisará definir as redes que você deseja monitorar dentro de um arquivo de configuração. Crie e abra o arquivo prefixes.yml em seu editor de texto favorito:

      Neste arquivo de configuração, você especificará cada um dos endereços IP individuais, intervalos de endereços IP e números AS que você deseja monitorar.

      Adicione o exemplo a seguir e ajuste os valores de configuração conforme necessário. Faça isso utilizando as informações de rede que você identificou no Passo 1:

      ~/prefixes.yml

      your-ip-address/32:
        description: My Server
        asn:
          - 14061
        ignoreMorespecifics: false
      
      157.230.80.0/20:
        description: IP range for my Server
        asn:
          - 14061
        ignoreMorespecifics: false
      
      options:
        monitorASns:
          '14061':
            group: default
      

      Você pode monitorar quantos intervalos de endereços IP ou números AS quiser. Para monitorar endereços IP individuais, represente-os usando /32 para IPv4, e /128 para IPv6.

      O valor ignoreMorespecifics é usado para controlar se o BGPalerter deve ignorar a atividade para rotas mais específicas (menores) do que as que você está monitorando. Por exemplo, se você estiver monitorando uma /20 e uma alteração de roteamento for detectada para uma /24 dentro dela, isso é considerado como sendo mais específico. Na maioria dos casos, não ignore esses dados. No entanto, se você estiver monitorando uma rede grande com vários prefixos do clientes delegados, isso pode ajudar a reduzir o ruído de fundo.

      Agora, execute o BGPalerter pela primeira vez para começar a monitorar suas redes:

      Se o BGPalerter for iniciado com sucesso, você verá um resultado parecido com este: Observe que pode levar alguns minutos para que o monitoramento comece:

      Output

      Impossible to load config.yml. A default configuration file has been generated. BGPalerter, version: 1.24.0 environment: production Loaded config: /home/bgpalerter/config.yml Monitoring 157.230.80.0/20 Monitoring your-ip-address/32 Monitoring AS 14061

      O BGPalerter continuará sendo executado até que você interrompa-o usando Ctrl+C.

      No próximo passo, você interpretará alguns dos alertas que o BGPalerter pode gerar.

      Passo 4 — Interpretando os alertas do BGPalerter

      Neste passo, você revisará alguns exemplos de alerta do BGPalerter. O BGPalerter gerará alertas no feed de resultados principal e, de maneira opcional, para qualquer ponto de extremidade de relatório adicional que possa ser configurado dentro do config.yml, como descrito na documentação do BGPalerter.

      Por padrão, o BGPalerter monitora e alerta sobre o seguinte:

      • Sequestro de rota: ocorre quando um AS anuncia um prefixo no qual ele não é permitido, fazendo com que o tráfego seja direcionado incorretamente. Ele pode ser um ataque deliberado, ou um erro acidental de configuração.

      • Perda de visibilidade de rota: uma rota é considerada visível quando a maioria dos roteadores BGP na Internet é capaz de roteá-la com segurança. A perda de visibilidade diz respeito à sua rede estar possivelmente indisponível, como, por exemplo, se o peering de BGP tenha parado de funcionar.

      • Novos comunicados sub-prefixo: é quando um AS começa a anunciar um prefixo que é menor que o esperado. Isso pode indicar uma alteração de configuração prevista, uma configuração acidental, ou, em alguns casos, um ataque.

      • Atividade dentro do seu AS: geralmente diz respeito a novos comunicados de rota. Uma rota é considerada “nova” se o BGPalerter ainda não sabe nada sobre ela.

      Em seguida, há alguns exemplos de alerta, junto com uma descrição curta do seu significado:

      Alert #1

      The prefix 203.0.113.0/24 is announced by AS64496 instead of AS65540
      

      Este alerta mostra evidências de um sequestro de rota, onde o AS64496 anunciou 203.0.113.0/24, quando na verdade espera-se que essa rota seja anunciada pelo AS65540. Isso é um indicador forte de que existe uma configuração errada levando a um vazamento de rota, ou de um sequestro deliberado por um agressor.

      Alert #2

      The prefix 203.0.113.0/24 has been withdrawn. It is no longer visible from 6 peers
      

      Este alerta mostra que a rede 203.0.113.0/24 não está mais visível. Isso pode ser devido a um problema de roteamento de ramificação ascendente, ou por um roteador ter sofrido uma falha de energia.

      Alert #3

      A new prefix 203.0.113.0/25 is announced by AS64496. It should be instead 203.0.113.0/24 announced by AS64496
      

      Este alerta mostra que um prefixo mais específico foi anunciado onde ele não está previsto. Por exemplo, anunciar um /25 quando apenas um /24 é esperado. É bastante provável que isso seja um erro de configuração. No entanto, em alguns casos, pode ser uma evidência de um sequestro de rota.

      Alert #4

      AS64496 is announcing 192.0.2.0/24 but this prefix is not in the configured list of announced prefixes
      

      Por fim, esse alerta mostra que o AS64496 anunciou um prefixo sobre o qual o BGPalerter ainda não sabe. Isso pode ser porque você está anunciando legitimamente um novo prefixo, ou pode ser um indicativo de uma configuração errada que está fazendo com que você anuncie um prefixo de propriedade de outra pessoa acidentalmente.

      Neste passo, você revisou alguns exemplos de alertas do BGPalerter. Em seguida, você configurará o BGPalerter para ser executado automaticamente na inicialização do sistema.

      Passo 5 — Iniciando o BGPalerter na inicialização do sistema

      Neste passo final, você configurará o BGPalerter para ser executado na inicialização.

      Certifique-se de que você ainda está logado com seu novo usuário não privilegiado e abra o editor crontab:

      Em seguida, adicione a seguinte linha ao final do arquivo crontab:

      crontab

      @reboot sleep 10; screen -dmS bgpalerter "./bgpalerter-linux-x64"
      

      Toda vez que seu sistema for inicializado, isso criará uma sessão screen (de tela) separada chamada ‘bgpalerter’, e iniciará o BGPalerter dentro dela.

      Salve e saia do editor crontab. Agora, você pode querer reinicializar seu sistema para garantir que o BGPalerter seja iniciado corretamente na inicialização.

      Primeiro, você precisará desconectar-se do seu usuário do BGPalerter:

      Em seguida, prossiga com uma reinicialização normal do sistema:normal

      Assim que seu sistema for reinicializado, faça login novamente no seu servidor e use o su para acessar seu usuário do BGPalerter novamente:

      Em seguida, você pode anexar-se à sessão a qualquer momento para visualizar o resultado do BGPalerter:

      Neste passo final, você configurou o BGPalerter para ser executado na inicialização.

      Conclusão

      Neste artigo, você configurou o BGPalerter e o usou para monitorar redes para mudanças de roteamento BGP.

      Se quiser tornar o BGPalerter mais fácil de usar, você pode configurá-lo para enviar alertas para um canal Slack através de um webhook:

      Se quiser aprender mais sobre o BGP em si, mas não tem acesso a um ambiente de produção BGP, você pode apreciar utilizar o DN42 para testar o BGP em um ambiente seguro e isolado:



      Source link