Ahora que ya sabes qué es un BGP Blackhole (si aún no lo sabes, consulta nuestro artículo sobre RTBH – Blackhole). Ahora toca configurarlo y poder protegerte de los ataques DDoS.
Para resumir el Blackhole, es una técnica de enviar una ruta al “agujero negro” o simplemente hacer que el router descarte paquetes dirigidos a esa IP. Con Blackhole también puede anunciar estas IP atacadas a sus proveedores/upstreams y así detener los ataques.
Ahora que sé lo que es, ahora viene la pregunta, ¿cómo bloquear mi enrutador? En el artículo de hoy, le mostraremos cómo configurar Blackhole en los enrutadores Cisco.
Para hacer el Blackhole manualmente tenemos unos pasos que son:
- Identificar la IP atacada;
- Crea la ruta al agujero negro;
- Anuncie esta ruta de agujero negro a través de BGP a sus operadores/ascendentes.
Puedes automatizar todo esto con Made4Flow, ya cerrando una sesión directa y sin tener que hacer trabajo manual.
Vamos a la configuración entonces
1 – Identificar la IP atacada
Esto lo puedes hacer a través del análisis de Netflow, como en Made4Flow, a través de las gráficas e identificar a través del Raw Data Report, qué IP tiene más tráfico y posiblemente sea víctima del ataque.
Dentro de Made4Flow, acceda, por ejemplo, al Gráfico de Interfaz por Aplicación, luego, haciendo clic en el puerto más utilizado, puede identificar qué IP está siendo atacada, o a través de Made4Flow, simplemente accediendo al módulo Anti-DDoS -> Anomalías activas.
La IP atacada fue: 200.189.56.55 (Ejemplo)
2) Crear una ruta a Blackhole o Null0
Después de identificar la IP atacada a través de Made4Flow, ahora es el momento de crear la ruta en su enrutador Cisco para arrojar efectivamente la IP a Blackhole o Null0.
Supongamos que la IP atacada es 200.200.200.1, creemos la ruta de la siguiente manera
Comandos aplicados:
enable
configure terminal
ip route 200.200.200.1 255.255.255.255 Null0
¡Después de aplicar la ruta que apunta a Null0, esta IP DEJARÁ DE FUNCIONAR!
Puede verificar la ruta usando el comando show:
Si la ruta se muestra como Null0, entonces ya la está enviando a Blackhole.
3 – Anuncie la IP en blackhole a través de BGP a sus operadores/upstreams
Después de identificar y bloquear la ruta, debe anunciarse a través de BGP a sus operadores/ascendentes.
Nota: Antes de configurar, siempre se recomienda hablar con su Operador/Upstream para averiguar qué comunidad Blackhole BGP es.
Es necesario establecer la sesión BGP con su operador.
Para ello tenemos unos pasos:
Configure su comunidad Blackhole Carrier/Upstream
Para configurar la comunidad Blackhole para usarla más tarde, necesitamos ejecutar el siguiente comando:
Comandos:
ip prefix-list BLACKHOLE permit 200.200.200.1/32
route-map BLACKHOLE permit
match ip address prefix-list BLACKHOLE
set community 666:666
set community 666:666
En caso de que sea necesario agregar más comunidades, aplique el mismo comando cambiando el nombre y el número de la comunidad.
Sugerencia: hable con su operador para averiguar qué comunidad de agujero negro BGP utilizan.
Anuncie la IP atacada con la comunidad BlackHole para Upstream
Para realizar la publicidad de la IP atacada con la comunidad blackhole es necesario realizar los siguientes pasos;
Ingrese la configuración BGP del enrutador Cisco
Luego de eso, anunciamos la IP atacada a nuestro Upstream, usando el siguiente comando;
Comandos:
router bgp 65000
neighbor 192.168.100.1 as 64700
neighbor 192.168.100.1 route-map BLACKHOLE out
Automatizando con Made4Flow
Con Made4Flow, es posible automatizar el proceso de anuncio de agujero negro de IP atacadas.
Para eso necesitamos:
- Configure la sesión BGP entre el Edge Router y Made4Flow;
Para configurar la sesión BGP entre el enrutador y Made4Flow, debe crear un mapa de ruta y luego la sesión BGP.
Para configurar el mapa de ruta:
Comando: route-map MADE4FLOW-IN permit 1000
set ip nex-hop 192.168.66.66
En este caso, es necesario agregar Next-hop manualmente en el enrutador.
Dentro de Made4Flow, ya puede anunciarse con la comunidad BGP y el Next-hop correcto si lo prefiere.
Configurar Made4Flow para enviar a través de Acciones
Dentro del Módulo Anti-DDoS, puede acceder al menú: Acciones y Respuestas y configurar la respuesta para enviar el Blackhole con la comunidad BGP correcta:
Configure el enrutador para enviar a los operadores
Para configurar el envío a operadores/aguas arriba, debe configurar para que la comunidad BGP se identifique en la coincidencia del mapa de ruta saliente.
Para esto necesitamos configurar un filtro de community-filter
El siguiente paso es configurar el Route-map de tu operador/upstream, como en el envío del blackhole, pero ahora emparejando a la comunidad en el match, como en nuestra configuración:
Compruebe si recibe de Made4Flow
Dominio:
show bgp ipv4 unicast neighbors 192.168.120.2 routes
Y si vas a enviar al transportista:
Dominio:
show bgp ipv4 unicast neighbors 192.168.1.1 advertised-routes
Una vez realizados estos ajustes, la automatización de Made4Flow está lista. Al recibir un ataque, Made4Flow ahora puede enviar esta ruta a Blackhole.
Tenemos otros contenidos sobre cómo configurar Blackhole que puedes encontrar en nuestro blog y cualquier duda que aún te quede, ponte en contacto con nuestro equipo de expertos
Leonardo Nacimiento | consultor made4it