Todas

Noticias ICM

BGP Multi-homing

¿Qué es BGP?

BGP es un protocolo de anuncio de prefijos de direcciones IP (IPv4 e IPv6), hacia operadores de tránsito de manera que esos anuncios de direcciones IP (redes), se van propagando a todos aquellos operadores de tránsito que tienen sus routers hablando BGP. Entre todos estos operadores y routers, se forma una red mallada de conexiones BGP de manera que podemos encontrar diversos caminos diferentes para llegar de un extremo al otro de forma automática, y por tanto tendremos un HA (alta disponibilidad), desde un punto de vista de caminos disponibles  en Internet entre dos extremos.

Cada operador de tránsisto y cada site remoto final (por ejemplo ICM), dispone de un número de sistema autónomo que va ligado a un grupo determinado de direcciones de red IP. El protocolo BGP decide como mejor camino (en una de sus decisiones de routing)que el camino más corto es el más óptimo, es decir, que para llegar a una red destino, elegirá aquel camino con el número de saltos de sistemas autónomos más corto. Sirva como ejemplo siguiente, desde un “looking glass” de Telia, la red 77.73.87.0/24:

BGP routing table entry for 77.73.87.0/24 Last Modified: Sep 19 12:18:54.413 for 5d21h Paths: (2 available, best #1)
Path #1: Received by speaker 0
3356 197876 62.115.58.254 from 62.115.58.254 (4.69.175.194)

En negrita podemos ver ese camino entre sistemas autónomos hasta llegar a esa red, la cual pertenece al sistema autónomo “1978786”.

Evidentemente, BGP tiene muchísimas más implicaciones en temas de decisiones de routing, no solo número de saltos de AS (Sistemas Autónomos), pero para entenderlo de una forma sencilla, partimos de esta base.

Para más información al respecto, se puede consultar en Internet el algoritmo de decisión de mejor ruta en BGP.

¿Qué es BGP Multi-Homing?

Si anunciamos nuestros prefijos solo por un operador de tránsito, que evidente que hay un único punto de fallo. Ya sea porque pueda caer el interface físico de la conexión con el operador, o un fallo local de nuestro router, o un fallo de routing en el backbone del operador, si hay problemas en esa conexión BGP, los problemas de conectividad están asegurados. Para solventar este inconveniente, es tan fácil como poner otro enlace BGP con otro operador. También, lo conveniente es poner otro equipo independiente del otro operador. Así la redundancia es completa. En un esquema aclaratorio (una imagen vale más que mil palabras):

Una aportación importante de BGP

Al estar propagando nuestra redes directamente, ¿existe una mayor vulnerabilidad a ataques?. Si bien es cierto que las operadoras, cuando gestionan el BGP son responsables en alguna medida en proteger cualquier ataque desmesurado hacia nuestros servicios, en raras ocasiones actúan a no ser que les impacte directamente a sus backbones de tránsito, así pues se debe disponer de alguna solución frente a este tipo de situaciones. En ICM disponemos de un sistema AntiDDoS en el operador de tránsito que nos avisa frente a tráficos inusuales, y entonces nosotros podemos activar las mitigaciones necesarias para evitar que nos lleguen esos ataques. Aún así, disponemos de antiDDoS en los Firewalls, pero además, BGP dispone de una herramienta llamada “Community”. Las ”Communities “ nos permiten realizar muchas  acciones sobre nuestros prefijos. La “Community” que ICM tiene implementada y preparada para actuar de una forma muy rápida es la que se denomina “Blackhole”. En un caso hipotético de un ataque hacia una dirección IP la cual nos esté impactando al servicio de uno o varios clientes, nosotros mismos podemos añadir esa IP (puede ser una red o una IP concreta), a esa “Community” de manera que estamos propagando al operador de tránsito que en todas sus conexiones BGP, si llega tráfico a esa dirección/es concreta, hace un drop a ese tráfico y por tanto protegemos en primera instancia de ese ataque. Esto puede parecer algo normal, pero desde un punto de vista de rapidez de actuación, no lo es. Es muy distinto detectar un ataque, abrir un ticket al operador y esperar que la cola se vacíe hasta llegar la incidencia a alguien que lo entienda, y que probablemente tenga que escalar con el consiguiente retraso, que no que ICM lo detecte y en un minuto podamos bloquear el ataque. En resumen, tecnológicamente es un salto importante pero en calidad de servicio es también un salto más importante todavía.

Tags: , , , , , , ,
Comenta

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Confían en nosotros

Lakmé
Volkswagen
Derby Hotels
Shiseido
Vasava
Orbital
Puntojs
SEAT