[FUG-BR] OpenBGP tcp md5sig

Sexta Julho 3 12:40:12 BRT 2015

> On 03/07/2015, at 10:22, Marcelo Gondim <gondim em bsdinfo.com.br> wrote:
> 
> On 02-07-2015 18:13, Felipe N. Oliva wrote:
>> 
>> 
>> On 7/2/15 18:08, Patrick Tracanelli wrote:
>>> Felipe,
>>> 
>>> São coisas diferente, ou voce usa ipsec ou usa o OpenBGP. No fim a proposta é similar o que o OpenBGP vai fazer pra você é instalar um túnel ipsec de qualquer forma, mas fazer ambos não pode. Se voce estiver em modo passivo apenas ipsec com cisco vai te atender, se estiver ativo e voce quem inicia a sessão BGP pode precisar do OpenBGP iniciar a md5sig, mas seu OpenBGP esta sem suporte. Enviei aqui na lista um PR e patch pra corrigir isso no OpenBGP. Então ou vc aplica o patch ou desliga toda conf do OpenBGP e faz apenas em kernel com ipsec.
>>> 
>>> 
>>> 
>>>> On 02/07/2015, at 16:20, Felipe N. Oliva <felipe em felipeoliva.eti.br> wrote:
>>>> 
>>>> Boa tarde pessoal,
>>>> 
>>>> Vejam se podem me ajudar, estou tentando fechar uma sessão BGP com "tcp md5sig".
>>>> 
>>>> Comecei tentando fechar com um CISCO, não foi, ai fiquei na duvida e fui pro Mikrotik, nada!
>>>> 
>>>> Ai fui pra tentativa mais fácil, openbgp x openbgp, e nada.
>>>> 
>>>> Detalhe, FreeBSD 10.1-RELEASE-p14.
>>>> 
>>>> Passos que segui:
>>>> 
>>>> Kernel:
>>>> options     IPSEC            # SUPORTE A IPSEC (REQUER crypto)
>>>> device      crypto            # SUPORTE A CRIPTOGRAFIA
>>>> options     TCP_SIGNATURE         # SUPORTE A RFC 2385
>>>> 
>>>> ipsec.conf:
>>>> add -4 192.168.88.246 192.168.88.245 tcp 0x1000 -A tcp-md5 "secret";
>>>> 
>>>> bgpd.conf:
>>>> AS 65001
>>>> router-id 192.168.88.246
>>>> listen on 192.168.88.246
>>>> 
>>>> group TESTE {
>>>>    remote-as 65002
>>>>    neighbor 192.168.88.245 {
>>>>        descr "BGP2"
>>>>        tcp md5sig password secret
>>>>    }
>>>> }
>>>> 
>>>> /var/log/messages:
>>>> Jul  2 17:08:53 bgp bgpd[874]: neighbor 192.168.88.245 (BGP2): pfkey setup failed
>>>> 
>>>> No outro peer a mesma coisa, mas ao contrario.
>>>> 
>>>> Alguém vê o erro?
>>>> 
>>>> Desde já grato,
>>>> 
>>>> -- 
>>>> Felipe N. Oliva
>>>> Administração de Redes e Sistemas
>>>> Skype: felipe.no88
>>>> 
>>>> -------------------------
>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>> -- 
>>> Patrick Tracanelli
>>> 
>>> FreeBSD Brasil LTDA.
>>> Tel.: (31) 3516-0800
>>> 316601 em sip.freebsdbrasil.com.br
>>> http://www.freebsdbrasil.com.br
>>> "Long live Hanin Elias, Kim Deal!"
>>> 
>>> -------------------------
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> Valeu Patrick, eu consegui.
>> 
>> Lembro desse seu patch, mas não consegui pesquisar no histórico da lista, se for possível reenvia.
>> 
>> Att,
>> 
> Po Patrick,
> 
> Não tem como mandar lá pro povo já colocar ele no FreeBSD 10.2?  :)
> Esses dias tive que fechar o md5sig e só consegui usando o ipsec porque pelo OpenBGP não tava funcionando ainda.
> 

Ja mandei PR… ta la parado hehehe.

Alguém do pfSense tinha mandado também uma versão antes. Vários reports de usuário de sucesso ja. O mantenedor do port que ta dormindo no ponto :D

Nem mandei o PR do allow as in pra não acumular, quando/se aprovar esse eu mando o proximo. 

O proprio garga ja deu um follow-up la, n sei se precisa de um tapa a mais no port mas ta la:

https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=184545#c2

Acho que ninguém se importa pq md5sig não vale nada. É segurança apenas psicológica e a maioria tem ciência disso e fecha sem senha mesmo. Alem de overhead causado pelas validações. ttl-security é mais simples e mais funcional pra evitar sequestro de sessão bgp hehe mas enfim tem gente que “exige” pra fechar peering que seja com assinatura, erroneamente chamada de chave ou senha...

--
Patrick Tracanelli

FreeBSD Brasil LTDA.
Tel.: (31) 3516-0800
316601 em sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
"Long live Hanin Elias, Kim Deal!"