Posts

Showing posts from July 27, 2008

BGP ver 3.2 & MPLS ver 2.2正式課程中沒有告訴你的事(BGP RR Groups)

BGP RR Group - 用於BGP RR(Route Reflector)上設定inbound route-targer filter,透過"bgp rr-group"這個指令來設置。這個指令執行跟route-map相同的功能。不過,這個指令是設置於BGP Process之下而且會影響所有的BGP neighbors。同時。另外一個重要的運作細節是在RR上設置的extended community access-list會被當成是outbound filter透過ORF功能傳遞給PE Router。Route-map的input filter無法透過ORF功能來下載。 Route-Partitioning設置步驟如下: 1. 假設CE1-PE1-P1-P2-PE2-CE2這樣的網路架構,我們使用P1, P2當RR,先在P1, P2上設置extended-community access-list
P1(config)#ip extcommunity-list standard VPNA 
P1(config-extcomm-list)#permit rt 1:100 

P2(config)ip extcommunity-list standard VPNB 
P2(config-extcomm-list)#permit rt 1:200 

2.設置route-target inbound filter,在RRs上BGP process之下設定"bgp rr-group"指令
P1(config)#router bgp 1 
P1(config-router)#address-family vpnv4 
P1(config-router-af)#bgp rr-group VPNA 

P2(config)#router bgp 1 
P2(config-router)#address-family vpnv4 
P2(config-router-af)#bgp rr-group VPNB 

以上是所謂的Route Partitioning的設置範例,不過這比較適用於大型ISP為了讓RR的loading減輕所使用的方式,個人不建議在中小型ISP or Enterprise Backbone使用這樣的技巧,因為P1, P2…

MPLS ver 2.2 中沒有告訴你的事(OSPF Superbackbone - OSPF domain ID)

Image
最近實在覺得沒有好好準備SP CCIE,有點良心過意不去,所以很認真的跑到天瓏去買了幾本MPLS相關書籍(原文書一定要這麼貴嗎?…),其中一本MPLS Configuration on Cisco IOS Software是一本相當不錯的書籍,難怪Class on Demand中強烈建議要先看這一本書。到現在只看完了100多頁,但是補充了很多現在MPLS正式教材中沒有提到的Cell-Mode MPLS的觀念及許多Slide不會提及的詳細show configuration。前面幾章的內容可以說是MPLS正式課程的精華節錄,如果有上過課的同學會很容易吸收了解,甚至更加地清楚每一個路由在不同Router上的相關資訊及變化,我想這是正式教材中所缺乏的,因此如果對正式教材的內容感覺不夠踏實的話,Cisco Press會是解答心中疑惑最好的方向。(Internet Google大神雖然很強,不過鮮少有人會整理地像Cisco Press這麼地的詳盡及圖文並茂,P2P E-Books則另當別論…個人還是喜歡直接看實體的書本)

其中一個非常重要的觀念,竟然在正式的課程中沒有特別提及的那就是OSPF Domain ID的概念,為了讓各位對OSPF Superbackbone有更進一步的了解,所以我把重點摘錄如下 -

在MPLS VPN Superbackbone中,BGP extended attributes會帶著以下屬性:



OSPF Route Type - 承載OSPF路由類型資訊通過MP-iBGP backbone
OSPF Router ID - 辨識相關VRF OSPF instance中的PE Router ID
OSPF Domain ID - 辨識MPLS VPN Backbone中特定OSPF prefix的Domain ID。預設,這個數值會等同於VRF中的OSPF Process ID,不過Domain ID可以被OSPF Process之下的這個指令"domain ID x.x.x.x"強制置換。如果在接收端PE上的Domain ID跟路由資訊中所攜帶的Domain ID不同,這筆路由會被轉換成外部OSPF路由(LSA Type 5,Metric-Type E2),不論原來的LSA Type為何。
在MPLS VPN環境中的OSPF路由發送跟…

Kaminsky(終於)公布DNS漏洞細節

Kaminsky(終於)公布DNS漏洞細節

ZDNet新聞專區:Robert Vamosi

2008/07/25 14:39:03

在DNS(網域名稱系統)快取中毒漏洞被他公開後,Dan Kaminsky 週四首度露面談話,他說他只希望大家知道應該馬上修補系統。

在第二屆黑帽大會會前視訊會議中,Kaminsky提出截至目前為止他所知道最詳盡的DNS漏洞(雖然他在今年初就已經發現,但卻遲至7月8日才對外公布)。DNS會把英文網址轉換成數字型的IP,是網際網路的基礎元件之一。他選擇此時發表,是因為修補程式已經發出來了。但他還是保留許多細節,希望大家能趕快補好系統,避免被壞人入侵。

Kaminsky 表示雖然許多人都知道有修補檔了,但還是有許多系統都還有存有這漏洞。從7/8日至7/13日之間,86%直接在線上測試是否有漏洞的用戶都發現系統是有漏洞的。今天則降至52%。「不夠完美,連好都稱不上。」他說。

他說一開始他原本是要尋找透過DNS來作內容傳送的方式,結果發現這個漏洞。「問題有多大呢?非常大。」

在安全社群裡的討論中,Kaminsky表示Halvar Flake的猜測最為接近。若有人說他早就知道DNS有這個漏洞,Kaminsky說「那都是騙人的」。

Kaminsky表示他目前在做的部分是有關三處漏洞:兩處是已知,但另一個還沒有。安全研究員一直認為要讓DNS紀錄中毒很難。他表示你可把這個當作一場競賽,好人與壞人都想拿到一個祕密數字交易ID。「你或許可第一個抵達,但沒有那個機密數字,你無法衝過終點線。」好人一定會有這個東西,但壞人也有6萬5000分之一的機會,因為交易ID是以port數字為依據。

DNS的漏洞之一是壞人隨時都可賽跑,即使他不知道這組交易數字,他用猜的也行。另一個基本漏洞是,同時間會有好幾個壞人同時猜測這組數字。而Kaminsky所發現的第三個漏洞是,不僅好幾個壞人可同時參加同一場比賽,他們也可分成好幾組比賽來進行。他舉了www.blackhat.com的例子。壞人不僅只會猜測該位址的交易ID,他還會猜測諸如1.blackhat.com與2.blackhat.com等。

他說,大家都會認為,「只要設好 TTL (long time to live),比如說一年好了,這樣應該就沒問題了。」但Kaminsky發現只要循線尋找1.blackhat.com、 2.bla…