Wat is Border Gateway Protocol (BGP)?

Wat is BGP?

BGP is het router command protocol waarmee het internet kan functioneren als een familie, door middel van een unified peer netwerk. Het is in wezen de 'postdienst' van de digitale wereld, verantwoordelijk voor het vinden van de meest efficiënte paden voor datapakketten om de vele verschillende netwerken die deel uitmaken van het internet te doorkruisen.

In tegenstelling tot interne gatewayprotocollen (IGP's) die routering binnen een enkel autonoom systeem (AS) beheren, werkt BGP tussen deze AS's, wat communicatie op wereldwijde schaal vergemakkelijkt. BGP speelt een cruciale rol bij het routeren van zowel IPv 4- als IPv 6-verkeer - iets wat een IGP niet doet.

Hoe werkt BGP

BGP is een complex router command protocol met ingewikkelde mechanismen voor het uitwisselen van routing informatie en het zorgen voor een efficiënte gegevensoverdracht tussen datacenters en het internet. Hier is een overzicht van de belangrijkste functies:

BGP-peering uitgelegd

BGP baseert zich op het concept "peering" om verbindingen tot stand te brengen tussen routers in verschillende autonome systemen (ASes). Het peer-proces omvat een proces waarbij twee routers instemmen met de uitwisseling van routeringsgegevens.

Ze maken een TCP-verbinding en verifiëren elkaar, waardoor ze een stabiel en betrouwbaar communicatiekanaal vormen. Zodra deze peering-relatie tot stand is gebracht, kunnen routers hun routeringstabellen delen en elkaar op de hoogte houden van de bereikbaarheid van het netwerk.

Deze continue externe uitwisseling van routergegevens zorgt ervoor dat elke router een consistente en up-to-date weergave van de netwerktopologie heeft.
In BGP verwijst een neighbor naar een andere router waarmee een BGP-router een verbinding tot stand brengt om routeringsgegevens uit te wisselen met de neighbor.

Een BGP-kenmerk is een stukje informatie dat is gekoppeld aan elke route die door een BGP-router wordt geadverteerd. Een kenmerk speelt een cruciale rol in het padselectieproces - een kenmerk kan AS_PATH, ORIGIN, LOCAL_PREF, enzovoort zijn. Dit kenmerkbereik helpt routers het beste pad te bepalen om een specifieke bestemming te bereiken.

De rol van autonome systemen (AS)

Autonome systemen (AS's) zijn van fundamenteel belang voor de werking van het BGP-beleid. Een AS is in wezen een verzameling netwerken onder één enkel administratief domein, zoals een grote internetprovider (ISP) of een multinationaal bedrijf.

BGP-routeaankondiging en -filtering

BGP-routers adverteren peerroutes naar hun router-peers en delen informatie over de peernetwerken die ze kunnen bereiken. Deze advertenties bevatten details zoals het voorvoegsel van het doelnetwerk, het pad naar dat netwerk (weergegeven als een reeks AS-nummers) en diverse kenmerken die de padselectie beïnvloeden.

Verschillen voor iBGP en eBGP

Hoewel zowel het iBGP- als het externe BGP-beleid hetzelfde onderliggende interne BGP-opdrachtprotocol ondersteunen, hebben ze verschillende kenmerken en dienen ze verschillende doelen. iBGP werkt bijvoorbeeld binnen één AS, terwijl eBGP tussen verschillende AS’en werkt.
Interne BGP verspreidt doorgaans geen routes die van de ene iBGP-peer naar de andere worden geleerd, waardoor potentiële routeringstrussen worden voorkomen. In tegenstelling tot interne BGP verspreidt externe BGP daarentegen routes naar andere externe BGP-peers, waardoor wereldwijde bereikbaarheid mogelijk wordt.

BGP-uitdagingen en -oplossingen

Hoewel BGP essentieel is voor internetroutering, stelt het ook een aantal uitdagingen, voornamelijk in verband met netwerkbeveiliging en -stabiliteit. Hier is een blik op enkele van deze uitdagingen en hun oplossingen:

BGP-kaping voorkomen

BGP-kaping treedt op wanneer een aanvaller kwaadwillig valse routeringsinformatie adverteert en internetverkeer naar zijn eigen netwerk doorstuurt. Dit kan voor verschillende kwaadaardige doeleinden worden gebruikt, zoals afluisteren, diefstal van gegevens of denial-of-service-aanvallen. Sommige voorbeeldtechnieken voorkomen BGP-kaping:

● Routefiltering: Implementeer een strikt routefilterbeleid om alleen legitieme routes van geautoriseerde peers te accepteren. Hierbij worden routers geconfigureerd om BGP-aankondigingen te weigeren die afkomstig zijn van onverwachte bronnen of die het eigendom claimen van voorvoegsels die niet bij de omroeper horen.

● Resource public key infrastructure (RPKI): Met RPKI kunnen netwerkoperators de herkomst van routeaankondigingen cryptografisch verifiëren, zodat alleen geautoriseerde AS's specifieke voorvoegsels kunnen adverteren. Door het publiceren en valideren van Route Origin Authorisations (ROA's) kunnen netwerkexploitanten het risico op kaping aanzienlijk verminderen.

● BGP-monitoring: Voortdurend BGP-routes en verkeerspatronen monitoren op afwijkingen die kunnen duiden op kapingpogingen. Realtime bewakingstools kunnen verdachte wijzigingen in routeringsgegevens detecteren en netwerkbeheerders waarschuwen, zodat ze onmiddellijk corrigerende maatregelen kunnen nemen.

Aanpakken van route-lekken

Route-lekken treden op wanneer een netwerk onbedoeld routes aankondigt die het niet zou moeten ondersteunen. Dit kan de verkeersstroom verstoren en verbindingsproblemen veroorzaken. Dit wordt opgelost door:

● Routeaggregatie: Voeg prefixen samen om het aantal geadverteerde routes te verminderen en het risico op lekken te minimaliseren. Door meerdere voorvoegsels samen te vatten in een enkel, algemener voorvoegsel, kunnen netwerkoperators routeringstabellen vereenvoudigen en de kans op onbedoeld lekken van specifieke routes verminderen.

● BGP-communitylabels: Gebruik communitylabels om routes te markeren en de verspreiding ervan te controleren, zodat ze niet in onbedoelde delen van het netwerk kunnen lekken. Deze tags bieden een flexibele manier om informatie aan routes toe te voegen en specifieke routeringsbeleidsregels op te leggen, waardoor het bereik van routedoorgifte wordt beperkt.

Best practices voor beveiliging voor BGP

Het implementeren van robuuste beveiligingspraktijken is cruciaal voor het beperken van BGP-gerelateerde risico's. Deze praktijken omvatten bijvoorbeeld:

● Veilige BGP-sessies: Gebruik verificatiemechanismen zoals MD5 of TCP MD5 om BGP-peer-sessies te beveiligen en ongeoorloofde lokale en externe toegang te voorkomen. Dit zorgt ervoor dat alleen vertrouwde routers BGP-verbindingen en routeringsgegevens voor externe uitwisselingen kunnen maken.

● Regelmatige audits: Voer regelmatig lokale audits uit van routeringsconfiguraties en -beleid om mogelijke kwetsbaarheden te identificeren en te corrigeren. Hiervoor moeten BGP-configuraties, filterregels en routeringsbeleidsregels worden gecontroleerd om ervoor te zorgen dat ze up-to-date zijn en zijn afgestemd op best practices voor beveiliging.

● Samenwerking en coördinatie: Neem deel aan initiatieven in de sector en werk samen met andere netwerkbeheerders om informatie te delen en te reageren op lokale beveiligingsincidenten. Dit bevordert een collaboratieve aanpak van BGP-beveiliging en helpt de algehele resilience van het ecosysteem voor internetroutering te verbeteren.

Tools en technologieën ter ondersteuning van BGP

Het beheren en monitoren van BGP-opdrachtprocessen omvat het gebruik van verschillende tools en technologieën om een efficiënte werking te garanderen en de netwerkstabiliteit te behouden. Deze tools bieden waardevolle inzichten in routeringsinformatie, netwerkprestaties en mogelijke beveiligingsrisico's.
Routers van verschillende leveranciers, zoals Cisco, Juniper en Nokia, zijn uitgerust met BGP-routeringssoftware waarmee ze kunnen deelnemen aan het BGP-routeringsproces.
Gespecialiseerde BGP-monitoringtools bieden realtime inzicht in BGP-routes, peering-sessies en netwerkprestaties. Deze tools kunnen afwijkingen detecteren, zoals het kapen van routes of lekken, en kunnen netwerkbeheerders waarschuwen.
Door gebruik te maken van deze tools en technologieën kunnen netwerkingenieurs effectief BGP beheren, de netwerkprestaties optimaliseren en de stabiliteit en beveiliging van hun routeringsinfrastructuur garanderen.