Mejorar disponibilidad en el protocolo BGP
Blog sobre seguridad informática. Con temas como: Auditoria, Test penetración, Malware, Informática Forense, Antivirus, SCADA, DDoS, SQL injection, OSINT…
Dentro de la seguridad informática la disponibilidad es un factor muy importante al que normalmente se le suele menospreciar. Entendemos por disponibilidad a la garantía de que los usuarios autorizados puedan acceder a la información y recursos de red cuando los necesiten.
Cuando se trata de proporcionar servicios redundantes, hay varias opciones disponibles:
- El servicio se puede alojar detrás de un conjunto de equilibradores de carga . Detectarán cualquier nodo defectuoso. Sin embargo, debe asegurarse de que esta nueva capa también sea tolerante a fallas.
- Los nodos que proporcionan el servicio pueden confiar en la conmutación por error de IP para compartir un conjunto de IP utilizando protocolos como VRRP o CARP . La dirección IP de un nodo defectuoso se asignará a otro nodo. Esto requiere que todos los nodos formen parte de la misma subred IP.
- Los clientes del servicio pueden solicitar a un tercero los nodos disponibles. Por lo general, esto se logra a través de DNS round-robin donde solo los nodos de trabajo se anuncian en un registro DNS . La conmutación por error puede ser bastante larga debido a los cachés.
Una configuración común es una combinación de estas soluciones: los servidores web están detrás de un par de equilibradores de carga que logran redundancia y equilibrio de carga. Los equilibradores de carga utilizan VRRP para garantizar la redundancia. Toda la configuración se replica en otro centro de datos y se utiliza DNS round-robin para garantizar tanto la redundancia como el equilibrio de carga de los centros de datos. Durante años, ISP ha estado usando BGP y código personalizado para realizar inyecciones de ruta BGP.
Hay una cuarta opción que es similar a VRRP pero se basa en el enrutamiento dinámico y, por lo tanto, no se limita a los nodos en la misma subred:
- Los nodos anuncian su disponibilidad con BGP para anunciar el conjunto de direcciones IP de servicio que pueden servir. Cada dirección se pondera de manera tal que las direcciones IP se equilibran entre los nodos disponibles.
Esta cuarta opción se realiza con ExaBGP. Fue diseñado para ser esa cuarta opoción, una aplicación SDN basada en BGP que no se interpone en el camino.
ExaBGP es una herramienta versátil que se adapta mejor a:
- proporcionando soluciones de migración tras error de centros de datos cruzados y servicios IP.
- mitigar ataques de red, desplegando centralmente filtros de nivel de red (agujero negro o especificación de flujo)
- Recopilación de información de red (utilizando BGP-LS o BGP con Add-Path)
ExaBGP proporciona una manera conveniente de implementar redes definidas por software mediante la transformación de mensajes BGP en texto plano amigable o JSON , que luego se puede manejar fácilmente mediante scripts simples o su BSS / OSS.
Se usa habitualmente para mejorar la resistencia del servicio y proporcionar protección contra fallas de red o servicio. Por ejemplo, gracias al healthcheck
backend incluido, cualquier falla del servicio DNS emitida puede ser detectada y redirigida. Para ayudarlo a comenzar, Vincent Bernat presentó un laboratorio completo que explica cómo utilizar mejor esta función.
Además, solo o junto con FastNetMon o WanGuard , proporciona a los operadores de red una solución de protección DDOS rentable.
Gracias al equilibrio de flujo de los enrutadores modernos, ExaBGP también se puede utilizar para ahorrar dinero en equilibradores de carga. Otros usos incluyen vigilar los cambios de red realizados por RIPE o por otras redes con GIXLG.
Más información y descarga de ExaBGP:
https://github.com/Exa-Networks/exabgp
La entrada Mejorar disponibilidad en el protocolo BGP se publicó primero en GURÚ DE LA INFORMÁTICA.
Fuente: El Gurú de la informática : Mejorar disponibilidad en el protocolo BGP