[FUG-BR] OpenBGP tcp md5sig
Marcelo Gondim
gondim em bsdinfo.com.br
Sexta Julho 3 15:41:41 BRT 2015
On 03-07-2015 12:40, Patrick Tracanelli wrote:
>
>
>> On 03/07/2015, at 10:22, Marcelo Gondim <gondim em bsdinfo.com.br> wrote:
>>
>> On 02-07-2015 18:13, Felipe N. Oliva wrote:
>>>
>>> On 7/2/15 18:08, Patrick Tracanelli wrote:
>>>> Felipe,
>>>>
>>>> São coisas diferente, ou voce usa ipsec ou usa o OpenBGP. No fim a proposta é similar o que o OpenBGP vai fazer pra você é instalar um túnel ipsec de qualquer forma, mas fazer ambos não pode. Se voce estiver em modo passivo apenas ipsec com cisco vai te atender, se estiver ativo e voce quem inicia a sessão BGP pode precisar do OpenBGP iniciar a md5sig, mas seu OpenBGP esta sem suporte. Enviei aqui na lista um PR e patch pra corrigir isso no OpenBGP. Então ou vc aplica o patch ou desliga toda conf do OpenBGP e faz apenas em kernel com ipsec.
>>>>
>>>>
>>>>
>>>>> On 02/07/2015, at 16:20, Felipe N. Oliva <felipe em felipeoliva.eti.br> wrote:
>>>>>
>>>>> Boa tarde pessoal,
>>>>>
>>>>> Vejam se podem me ajudar, estou tentando fechar uma sessão BGP com "tcp md5sig".
>>>>>
>>>>> Comecei tentando fechar com um CISCO, não foi, ai fiquei na duvida e fui pro Mikrotik, nada!
>>>>>
>>>>> Ai fui pra tentativa mais fácil, openbgp x openbgp, e nada.
>>>>>
>>>>> Detalhe, FreeBSD 10.1-RELEASE-p14.
>>>>>
>>>>> Passos que segui:
>>>>>
>>>>> Kernel:
>>>>> options IPSEC # SUPORTE A IPSEC (REQUER crypto)
>>>>> device crypto # SUPORTE A CRIPTOGRAFIA
>>>>> options TCP_SIGNATURE # SUPORTE A RFC 2385
>>>>>
>>>>> ipsec.conf:
>>>>> add -4 192.168.88.246 192.168.88.245 tcp 0x1000 -A tcp-md5 "secret";
>>>>>
>>>>> bgpd.conf:
>>>>> AS 65001
>>>>> router-id 192.168.88.246
>>>>> listen on 192.168.88.246
>>>>>
>>>>> group TESTE {
>>>>> remote-as 65002
>>>>> neighbor 192.168.88.245 {
>>>>> descr "BGP2"
>>>>> tcp md5sig password secret
>>>>> }
>>>>> }
>>>>>
>>>>> /var/log/messages:
>>>>> Jul 2 17:08:53 bgp bgpd[874]: neighbor 192.168.88.245 (BGP2): pfkey setup failed
>>>>>
>>>>> No outro peer a mesma coisa, mas ao contrario.
>>>>>
>>>>> Alguém vê o erro?
>>>>>
>>>>> Desde já grato,
>>>>>
>>>>> --
>>>>> Felipe N. Oliva
>>>>> Administração de Redes e Sistemas
>>>>> Skype: felipe.no88
>>>>>
>>>>> -------------------------
>>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>> --
>>>> Patrick Tracanelli
>>>>
>>>> FreeBSD Brasil LTDA.
>>>> Tel.: (31) 3516-0800
>>>> 316601 em sip.freebsdbrasil.com.br
>>>> http://www.freebsdbrasil.com.br
>>>> "Long live Hanin Elias, Kim Deal!"
>>>>
>>>> -------------------------
>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>> Valeu Patrick, eu consegui.
>>>
>>> Lembro desse seu patch, mas não consegui pesquisar no histórico da lista, se for possível reenvia.
>>>
>>> Att,
>>>
>> Po Patrick,
>>
>> Não tem como mandar lá pro povo já colocar ele no FreeBSD 10.2? :)
>> Esses dias tive que fechar o md5sig e só consegui usando o ipsec porque pelo OpenBGP não tava funcionando ainda.
>>
> Ja mandei PR… ta la parado hehehe.
>
> Alguém do pfSense tinha mandado também uma versão antes. Vários reports de usuário de sucesso ja. O mantenedor do port que ta dormindo no ponto :D
>
> Nem mandei o PR do allow as in pra não acumular, quando/se aprovar esse eu mando o proximo.
>
> O proprio garga ja deu um follow-up la, n sei se precisa de um tapa a mais no port mas ta la:
>
> https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=184545#c2
>
> Acho que ninguém se importa pq md5sig não vale nada. É segurança apenas psicológica e a maioria tem ciência disso e fecha sem senha mesmo. Alem de overhead causado pelas validações. ttl-security é mais simples e mais funcional pra evitar sequestro de sessão bgp hehe mas enfim tem gente que “exige” pra fechar peering que seja com assinatura, erroneamente chamada de chave ou senha...
>
>
>
> --
> Patrick Tracanelli
>
> FreeBSD Brasil LTDA.
> Tel.: (31) 3516-0800
> 316601 em sip.freebsdbrasil.com.br
> http://www.freebsdbrasil.com.br
> "Long live Hanin Elias, Kim Deal!"
>
Pois é eu fechei sessão com os caras do Cymru [1] pra usar o UTRS e lá
eles exigem isso. Aí tive que fazer rsrsrsrsrsr
http://www.team-cymru.org/UTRS/
Mais detalhes sobre a lista de discussão freebsd