{"id":10086,"date":"2022-05-09T15:36:00","date_gmt":"2022-05-09T18:36:00","guid":{"rendered":"http:\/\/made4it.com.br\/como-configurar-blackhole-en-cisco-ios-xe\/"},"modified":"2023-02-13T11:46:48","modified_gmt":"2023-02-13T14:46:48","slug":"como-configurar-blackhole-en-cisco-ios-xe","status":"publish","type":"post","link":"https:\/\/made4it.com.br\/es\/como-configurar-blackhole-en-cisco-ios-xe\/","title":{"rendered":"C\u00f3mo configurar Blackhole en Cisco IOS-XE"},"content":{"rendered":"\n

Ahora que ya sabes qu\u00e9 es un BGP<\/strong> Blackhole<\/strong> (si a\u00fan no lo sabes, consulta nuestro art\u00edculo sobre RTBH \u2013 Blackhole).<\/a> Ahora toca configurarlo y poder protegerte de los ataques DDoS.<\/p>\n\n

Para resumir el Blackhole, es una t\u00e9cnica de enviar una ruta al \u201cagujero negro\u201d o simplemente hacer que el router descarte paquetes dirigidos a esa IP.<\/strong> Con Blackhole tambi\u00e9n puede anunciar estas IP atacadas a sus proveedores\/upstreams y as\u00ed detener los ataques.<\/p>\n\n

Ahora que s\u00e9 lo que es, ahora viene la pregunta, \u00bfc\u00f3mo bloquear mi enrutador? En el art\u00edculo de hoy, le mostraremos c\u00f3mo configurar Blackhole en los enrutadores Cisco.<\/strong><\/p>\n\n

\n Para hacer el Blackhole manualmente tenemos unos pasos que son:<\/strong>\n <\/p>\n\n

  1. Identificar la IP atacada;<\/li>
  2. Crea la ruta al agujero negro;<\/li>
  3. Anuncie esta ruta de agujero negro a trav\u00e9s de BGP a sus operadores\/ascendentes.<\/li><\/ol>\n\n

    Puedes automatizar todo esto con Made4Flow<\/a>, ya cerrando una sesi\u00f3n directa y sin tener que hacer trabajo manual.<\/p>\n\n

    Vamos a la configuraci\u00f3n entonces<\/p>\n\n

    \n 1 \u2013 Identificar la IP atacada<\/strong>\n <\/p>\n\n

    Esto lo puedes hacer a trav\u00e9s del an\u00e1lisis de Netflow, como en Made4Flow, a trav\u00e9s de las gr\u00e1ficas e identificar a trav\u00e9s del Raw Data Report, qu\u00e9 IP tiene m\u00e1s tr\u00e1fico y posiblemente sea v\u00edctima del ataque.<\/p>\n\n

    Dentro de Made4Flow, acceda, por ejemplo, al Gr\u00e1fico de Interfaz por Aplicaci\u00f3n, luego, haciendo clic en el puerto m\u00e1s utilizado, puede identificar qu\u00e9 IP est\u00e1 siendo atacada, o a trav\u00e9s de Made4Flow, simplemente accediendo al m\u00f3dulo Anti-DDoS -> Anomal\u00edas activas.<\/p>\n\n

    \"\"<\/a><\/figure>\n\n

    La IP atacada fue: 200.189.56.55 (Ejemplo)<\/p>\n\n

    2) Crear una ruta a Blackhole o Null0<\/strong><\/strong><\/p>\n\n

    Despu\u00e9s de identificar la IP atacada a trav\u00e9s de Made4Flow, ahora es el momento de crear la ruta en su enrutador Cisco para arrojar efectivamente la IP a Blackhole o Null0.<\/p>\n\n

    Supongamos que la IP atacada es 200.200.200.1, creemos la ruta de la siguiente manera<\/p>\n\n

    Comandos aplicados:<\/p>\n\n

    enableconfigure terminalip route 200.200.200.1 255.255.255.255 Null0<\/pre>\n\n
    \u00a1Despu\u00e9s de aplicar la ruta que apunta a Null0, esta IP DEJAR\u00c1 DE FUNCIONAR!<\/strong><\/p>\n\n
    Puede verificar la ruta usando el comando show:<\/p>\n\n
    \"\"<\/a><\/figure>\n\n
    Si la ruta se muestra como Null0, entonces ya la est\u00e1 enviando a Blackhole.<\/p>\n\n
    \n          3 \u2013 Anuncie la IP en blackhole a trav\u00e9s de BGP a sus operadores\/upstreams<\/strong>\n        <\/p>\n\n
    Despu\u00e9s de identificar y bloquear la ruta, debe anunciarse a trav\u00e9s de BGP a sus operadores\/ascendentes.<\/p>\n\n
    Nota: Antes de configurar, siempre se recomienda hablar con su Operador\/Upstream para averiguar qu\u00e9 comunidad Blackhole BGP es.<\/p>\n\n
    Es necesario establecer la sesi\u00f3n BGP con su operador.<\/p>\n\n
    Para ello tenemos unos pasos:<\/p>\n\n
    \n          Configure su comunidad Blackhole Carrier\/Upstream<\/strong>\n        <\/p>\n\n
    Para configurar la comunidad Blackhole para usarla m\u00e1s tarde, necesitamos ejecutar el siguiente comando:<\/p>\n\n
    \"\"<\/a><\/figure>\n\n
    Comandos:<\/p>\n\n
    ip prefix-list BLACKHOLE permit 200.200.200.1\/32route-map BLACKHOLE permitmatch ip address prefix-list BLACKHOLEset community 666:666<\/pre>\n\n
     set community 666:666<\/p>\n\n
    En caso de que sea necesario agregar m\u00e1s comunidades, aplique el mismo comando cambiando el nombre y el n\u00famero de la comunidad.<\/p>\n\n
    \n          Sugerencia: hable con su operador para averiguar qu\u00e9 comunidad de agujero negro BGP utilizan.<\/strong>\n        <\/p>\n\n
    Anuncie la IP atacada con la comunidad BlackHole para Upstream<\/p>\n\n
    Para realizar la publicidad de la IP atacada con la comunidad blackhole es necesario realizar los siguientes pasos;<\/p>\n\n
    Ingrese la configuraci\u00f3n BGP del enrutador Cisco<\/p>\n\n
    \"\"<\/a><\/figure>\n\n
    Luego de eso, anunciamos la IP atacada a nuestro Upstream, usando el siguiente comando;<\/p>\n\n
    \"\"<\/a><\/figure>\n\n
    Comandos:<\/p>\n\n
    router bgp 65000neighbor 192.168.100.1 as 64700neighbor 192.168.100.1 route-map BLACKHOLE out<\/pre>\n\n
    \n          Automatizando con Made4Flow<\/strong>\n        <\/p>\n\n
    Con Made4Flow, es posible automatizar el proceso de anuncio de agujero negro de IP atacadas.<\/p>\n\n
    Para eso necesitamos:<\/p>\n\n
    1. Configure la sesi\u00f3n BGP entre el Edge Router y Made4Flow;<\/li><\/ol>\n\n
      Para configurar la sesi\u00f3n BGP entre el enrutador y Made4Flow, debe crear un mapa de ruta y luego la sesi\u00f3n BGP.<\/p>\n\n
      Para configurar el mapa de ruta:<\/p>\n\n
      \"\"<\/a><\/figure>\n\n
      Comando: route-map MADE4FLOW-IN permit 1000<\/p>\n\n
      \n                       <\/strong>\n          set ip nex-hop 192.168.66.66<\/strong>\n        <\/p>\n\n
      En este caso, es necesario agregar Next-hop manualmente en el enrutador.<\/p>\n\n
      Dentro de Made4Flow, ya puede anunciarse con la comunidad BGP y el Next-hop correcto si lo prefiere.<\/p>\n\n
      \n          Configurar Made4Flow para enviar a trav\u00e9s de Acciones<\/strong>\n        <\/p>\n\n
      Dentro del M\u00f3dulo Anti-DDoS, puede acceder al men\u00fa: Acciones y Respuestas y configurar la respuesta para enviar el Blackhole con la comunidad BGP correcta:<\/p>\n\n
      \"\"<\/a><\/figure>\n\n
      \n          Configure el enrutador para enviar a los operadores<\/strong>\n        <\/p>\n\n
      Para configurar el env\u00edo a operadores\/aguas arriba, debe configurar para que la comunidad BGP se identifique en la coincidencia del mapa de ruta saliente.<\/p>\n\n
      Para esto necesitamos configurar un filtro de community-filter<\/p>\n\n
      \"\"<\/a><\/figure>\n\n
      El siguiente paso es configurar el Route-map de tu operador\/upstream, como en el env\u00edo del blackhole, pero ahora emparejando a la comunidad en el match, como en nuestra configuraci\u00f3n:<\/p>\n\n
      \"\"<\/a><\/figure>\n\n
      Compruebe si recibe de Made4Flow<\/p>\n\n
      \"\"<\/a><\/figure>\n\n
      Dominio: <\/p>\n\n
      show bgp ipv4 unicast neighbors 192.168.120.2 routes<\/pre>\n\n
      Y si vas a enviar al transportista:<\/p>\n\n
      \"\"<\/a><\/figure>\n\n
      Dominio:<\/p>\n\n
      show bgp ipv4 unicast neighbors 192.168.1.1 advertised-routes<\/p>\n\n
      Una vez realizados estos ajustes, la automatizaci\u00f3n de Made4Flow est\u00e1 lista. Al recibir un ataque, Made4Flow ahora puede enviar esta ruta a Blackhole.<\/p>\n\n
      Tenemos otros contenidos sobre c\u00f3mo configurar Blackhole<\/a> que puedes encontrar en nuestro blog y cualquier duda que a\u00fan te quede, ponte en contacto con nuestro equipo de expertos Leonardo Nacimiento | consultor made4it<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"
      Ahora que ya sabes qu\u00e9 es un BGP Blackhole (si a\u00fan no lo sabes, consulta nuestro art\u00edculo sobre RTBH \u2013 Blackhole). Ahora toca configurarlo y poder protegerte de los ataques DDoS. Para resumir el Blackhole, es una t\u00e9cnica de enviar una ruta al \u201cagujero negro\u201d o simplemente hacer que el router descarte paquetes dirigidos a […]<\/p>\n","protected":false},"author":13,"featured_media":9033,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"postBodyCss":"","postBodyMargin":[],"postBodyPadding":[],"postBodyBackground":{"backgroundType":"classic","gradient":""},"footnotes":""},"categories":[357],"tags":[],"class_list":["post-10086","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sin-categoria"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/made4it.com.br\/es\/wp-json\/wp\/v2\/posts\/10086","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/made4it.com.br\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/made4it.com.br\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/made4it.com.br\/es\/wp-json\/wp\/v2\/users\/13"}],"replies":[{"embeddable":true,"href":"https:\/\/made4it.com.br\/es\/wp-json\/wp\/v2\/comments?post=10086"}],"version-history":[{"count":0,"href":"https:\/\/made4it.com.br\/es\/wp-json\/wp\/v2\/posts\/10086\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/made4it.com.br\/es\/wp-json\/wp\/v2\/media\/9033"}],"wp:attachment":[{"href":"https:\/\/made4it.com.br\/es\/wp-json\/wp\/v2\/media?parent=10086"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/made4it.com.br\/es\/wp-json\/wp\/v2\/categories?post=10086"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/made4it.com.br\/es\/wp-json\/wp\/v2\/tags?post=10086"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}