某些组织有数千个开放的 BGP 端口 - 这有什么原因吗?

网络工程 bgp
2021-07-31 19:19:48

我希望这是问这个问题的正确地方,但我一直在浏览 Shodan,希望能够深入了解我的组织有多少可以从外部访问的服务,以便我可以与我们的网络团队合作关闭这些服务或与负责服务的学者合作,以确保正确更新和配置盒子,或将服务器从网络中拉出以供内部使用。

我注意到一些大学的趋势是,它们在同一 IP 地址范围内的数千个 IP 地址之间开放 BGP 端口 179。据我所知,BGP 响应 telnet 连接,即使只是说访问被拒绝,但 Shodan 根本没有显示这些横幅。如果我尝试使用 putty 进行连接,窗口会打开然后很快关闭,这表明另一端的任何内容正在终止会话,可能是因为我不在访问列表中。

我在学习中还没有做过 BGP 很高兴学习,但这让我很好奇。我可以肯定地说,我们没有 AS 编号,我们的 ISP 拥有 AS,并且它也用于其他机构,所以根据我对 BGP 的基本知识,我们不使用它,但我们的 ISP 使用它,所以理论上有我们没有任何理由在数千个向 Internet 开放的 IP 中拥有如此大量的端口 179,因此可以安全关闭而不会影响任何端口。我也不相信我们正在充当其他组织路线的同行。

那么,最终,对于规模不够大的组织是否有任何理由运行 BGP 以在大范围的 IP 地址上打开端口 179?

在 IT 安全领域工作我觉得我应该知道这一点!

2个回答

端口 179 负责形成 ISP 和客户端之间的对等点。事实上,很少有提供商在端口 179 上实现防火墙保护,以避免与他们的客户端发生对等问题。在良好的实践中,ISP 应该通过仅在它提供给其客户端的 IPS 上允许端口 179 上的 TCP 连接来执行 ACL,关闭 BGP 会话并阻止其余会话,但我认为这应该是一个非常糟糕的实践。因此,由于您没有 AS,我看不出这种“安全漏洞”会如何影响您的网络。

许多大学似乎对网络安全采取了相对开放的方法。与其有一个默认拒绝设置以及打开内容所需的特殊请求,他们通常有一个默认允许设置,默认情况下只阻止高风险服务。

没有法律要求人们仅将端口用于 IANA 分配的服务。我猜想,如果您发现在数千台机器上打开了一个端口,则它可能没有用于 BGP。如果这些机器在您的组织中,那么跟踪一台机器并查看 id 发生了什么可能是值得的。

其它你可能感兴趣的问题
上一篇组播泛洪网络 ProCurve Switch 2520G 下一篇日志中的传入与传出方向