[FUG-BR] OpenBGP tcp md5sig

Sexta Julho 3 13:26:19 BRT 2015

> On Jul 3, 2015, at 12:40, Patrick Tracanelli <eksffa at freebsdbrasil.com.br> wrote:
> 
> 
> 
> 
>> On 03/07/2015, at 10:22, Marcelo Gondim <gondim at bsdinfo.com.br> wrote:
>> 
>> On 02-07-2015 18:13, Felipe N. Oliva wrote:
>>> 
>>> 
>>> On 7/2/15 18:08, Patrick Tracanelli wrote:
>>>> Felipe,
>>>> 
>>>> São coisas diferente, ou voce usa ipsec ou usa o OpenBGP. No fim a proposta é similar o que o OpenBGP vai fazer pra você é instalar um túnel ipsec de qualquer forma, mas fazer ambos não pode. Se voce estiver em modo passivo apenas ipsec com cisco vai te atender, se estiver ativo e voce quem inicia a sessão BGP pode precisar do OpenBGP iniciar a md5sig, mas seu OpenBGP esta sem suporte. Enviei aqui na lista um PR e patch pra corrigir isso no OpenBGP. Então ou vc aplica o patch ou desliga toda conf do OpenBGP e faz apenas em kernel com ipsec.
>>>> 
>>>> 
>>>> 
>>>>> On 02/07/2015, at 16:20, Felipe N. Oliva <felipe at felipeoliva.eti.br> wrote:
>>>>> 
>>>>> Boa tarde pessoal,
>>>>> 
>>>>> Vejam se podem me ajudar, estou tentando fechar uma sessão BGP com "tcp md5sig".
>>>>> 
>>>>> Comecei tentando fechar com um CISCO, não foi, ai fiquei na duvida e fui pro Mikrotik, nada!
>>>>> 
>>>>> Ai fui pra tentativa mais fácil, openbgp x openbgp, e nada.
>>>>> 
>>>>> Detalhe, FreeBSD 10.1-RELEASE-p14.
>>>>> 
>>>>> Passos que segui:
>>>>> 
>>>>> Kernel:
>>>>> options     IPSEC            # SUPORTE A IPSEC (REQUER crypto)
>>>>> device      crypto            # SUPORTE A CRIPTOGRAFIA
>>>>> options     TCP_SIGNATURE         # SUPORTE A RFC 2385
>>>>> 
>>>>> ipsec.conf:
>>>>> add -4 192.168.88.246 192.168.88.245 tcp 0x1000 -A tcp-md5 "secret";
>>>>> 
>>>>> bgpd.conf:
>>>>> AS 65001
>>>>> router-id 192.168.88.246
>>>>> listen on 192.168.88.246
>>>>> 
>>>>> group TESTE {
>>>>>   remote-as 65002
>>>>>   neighbor 192.168.88.245 {
>>>>>       descr "BGP2"
>>>>>       tcp md5sig password secret
>>>>>   }
>>>>> }
>>>>> 
>>>>> /var/log/messages:
>>>>> Jul  2 17:08:53 bgp bgpd[874]: neighbor 192.168.88.245 (BGP2): pfkey setup failed
>>>>> 
>>>>> No outro peer a mesma coisa, mas ao contrario.
>>>>> 
>>>>> Alguém vê o erro?
>>>>> 
>>>>> Desde já grato,
>>>>> 
>>>>> -- 
>>>>> Felipe N. Oliva
>>>>> Administração de Redes e Sistemas
>>>>> Skype: felipe.no88
>>>>> 
>>>>> -------------------------
>>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>> -- 
>>>> Patrick Tracanelli
>>>> 
>>>> FreeBSD Brasil LTDA.
>>>> Tel.: (31) 3516-0800
>>>> 316601 at sip.freebsdbrasil.com.br
>>>> http://www.freebsdbrasil.com.br
>>>> "Long live Hanin Elias, Kim Deal!"
>>>> 
>>>> -------------------------
>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>> Valeu Patrick, eu consegui.
>>> 
>>> Lembro desse seu patch, mas não consegui pesquisar no histórico da lista, se for possível reenvia.
>>> 
>>> Att,
>>> 
>> Po Patrick,
>> 
>> Não tem como mandar lá pro povo já colocar ele no FreeBSD 10.2?  :)
>> Esses dias tive que fechar o md5sig e só consegui usando o ipsec porque pelo OpenBGP não tava funcionando ainda.
>> 
> 
> Ja mandei PR… ta la parado hehehe.
> 
> Alguém do pfSense tinha mandado também uma versão antes. Vários reports de usuário de sucesso ja. O mantenedor do port que ta dormindo no ponto :D
> 
> Nem mandei o PR do allow as in pra não acumular, quando/se aprovar esse eu mando o proximo. 
> 
> O proprio garga ja deu um follow-up la, n sei se precisa de um tapa a mais no port mas ta la:
> 
> https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=184545#c2
> 
> Acho que ninguém se importa pq md5sig não vale nada. É segurança apenas psicológica e a maioria tem ciência disso e fecha sem senha mesmo. Alem de overhead causado pelas validações. ttl-security é mais simples e mais funcional pra evitar sequestro de sessão bgp hehe mas enfim tem gente que “exige” pra fechar peering que seja com assinatura, erroneamente chamada de chave ou senha...

Eu inclusive mandei um email pro hrs@ perguntando se ele nao vai commitar aquele PR e oferecendo ajuda.

Vou tentar mais uma vez… :)

--
Renato Botelho