Routovanie Internetu bude bezpečnejšie, bezpečnejší BGP napreduje

Značky: routerybezpečnosťInternet

DSL.sk, 10.9.2018

Základná infraštruktúra Internetu v podobe používanej technológie na dynamické routovanie by mohla byť v blízkej budúcnosti odolnejšia a nedovoľovať jednoduché útoky cez protokol BGP, keď aktuálne pokročila iniciatíva nasadenia bezpečnejšieho rozšírenia BGP.

Americké centrum NCCoE pri štandardizačnom inštitúte NIST totiž v rámci projektu SIDR, Secure Inter-Domain Routing, zverejnilo aj na základe testov nasadenia príručku ako nasadiť dôležité zabezpečenie BGP, BGP ROV. Verejná konzultácia k príručke za účelom jej prípadného vylepšenia trvá do polovice októbra.

Protokol BGP, Border Gateway Protocol, je určený pre dynamickú konfiguráciu routovania dátovej prevádzky medzi jednotlivými internetovými sieťami. Prevádzkovatelia a routery ním oznamujú rozsahy IP adries, ktorých routovanie zabezpečujú, spolu s celou cestou routovania v podobe zoznamu sietí až do cieľovej siete. Globálne je na Internete používaných viac ako pol milióna takýchto routovacích ciest.

Keď sa sieť dozvie o novom routovaní od niektorej susediacej siete, podľa nastavení môže pre ďalšie siete s ňou priamo prepojené zabezpečiť pokračovanie tohto routovania, pridá sa do cesty tohto routovania a susediacim sieťam oznámi nové dostupné routovanie pre daný rozsah.

Samotný protokol, ktorý pôvodne vznikol ešte v čase začiatkov rozmachu Internetu, v doterajšej podobe žiadnym spôsobom neautentifikuje jednotlivé oznamované routovania. Kontroly musia aplikovať jednotlivé siete a neakceptovať a neposielať ďalej evidentne nesprávne routovania. Bohužial veľa sietí to nerobí dostatočne respektíve filtruje len naozaj základné problémy.

Už veľakrát sa tak stalo, že cez BGP sa rozšírili evidentne nesprávne routovania a IP pakety boli posielané kam nemali. Prednosť v BGP dostávajú routovania špecifickejších menších rozsahov, nesprávne routovania pre menšie úseky IP adries tak majú prednosť pred štandardným routovaním a môžu sa veľmi rýchlo a ľahko rozšíriť. Niekedy sú takéto incidenty dôsledkom technických chýb, v niektorých prípadoch existuje podozrenie na úmysel a v niektorých išlo o evidentný útok.

Už niekoľko rokov sa pracuje na návrhu nasadenia bezpečnejšej verzie, pričom viaceré technológie za týmto účelom boli štandardizované v rámci IETF pred rokom. Bezpečnejšie riešenie sa spolieha na tri komponenty, RPKI infraštruktúru pre kryptografické podpisovanie a rozšírenia BGP ROV, Route Origin Validation, a BGPsec.

ROV pomocou podpisu overuje, že vlastník daného rozsahu IP adries autorizuje danú sieť aby bola cieľovou destináciou routovania týchto adries. BGPsec zabezpečuje autorizáciu celej routovacej cesty. Podľa NIST je ROV v súčasnosti už široko podporovaný výrobcami routerov, naopak podpora BGPsec ešte nie je dostatočne rozšírená a jeho nasadenie môže byť celkovo komplikované.

Vo svojej príručke sa tak zaoberá nasadením RPKI spolu iba s ROV.




Najnovšie články:



Diskusia:

Ako inak Od reg.: Zelo_005 | Pridané: 10.9.2018 12:23 Posielam privátne kľúče. Odpovedať Známka: 7.3 Hodnotiť:

Re: Ako inak Od reg.: ujo horar | Pridané: 10.9.2018 12:56 ja kluce od svojho bytu nikomu posielat nebudem.. Odpovedať Známka: 8.8 Hodnotiť:

Re: Ako inak Od: aleggg | Pridané: 10.9.2018 13:15 Ani ten verejny?! Odpovedať Známka: 8.7 Hodnotiť:

Re: Ako inaksie... Od reg.: ujo horar | Pridané: 10.9.2018 13:24 no veru ani ten od vchodovej brany do baraku Odpovedať Známka: 10.0 Hodnotiť:

Re: Ako inaksie... Od: MAJAK - neregistrovany | Pridané: 10.9.2018 13:39 priekazne? :-) Odpovedať Známka: -5.4 Hodnotiť:

Re: Ako inaksie... Od reg.: ujo horar | Pridané: 10.9.2018 14:19 pokial sa nevolas Janka Hospodarova, tak samozrejme priekazne.. Odpovedať Známka: 1.4 Hodnotiť:

ničivý praktik Od: syntaxterrorX. XX | Pridané: 10.9.2018 14:38 Cize okrem vecerov, kedy, ako kazdy tunajsi odbornik, nahodi dark theme, pancusky, lodicky, mejkap, sibalsky usmev, pusti v cmuse Kennyho G a priekazne s nadsenim koreluje? Odpovedať Známka: -4.0 Hodnotiť:

Re: ničivý praktik Od: Slovo priekazne nie je spisovné. | Pridané: 10.9.2018 20:08 Slovo priekazne nie je spisovné. Odpovedať Známka: -3.3 Hodnotiť:

Re: ničivý praktik Od: Matus UHLAR - fantomas | Pridané: 13.9.2018 10:11 slovo priekazne je priekazne nespisovne :-) Odpovedať Hodnotiť:

Re: Ako inak Od: ffdf | Pridané: 10.9.2018 13:18 už si ich stratil... :-) Odpovedať Hodnotiť:

muhehehe Od: froggy | Pridané: 10.9.2018 14:06 bude snáď verzia 5? :)) Odpovedať Hodnotiť:

BGP s MD5 Od: Junak pravy | Pridané: 10.9.2018 15:29 Standardne pouzivane BGP sa da tiez dodatocne zabezpecit pomocou MD5 autentifikacie. Odpovedať Hodnotiť:

Re: BGP s MD5 Od: baGoLo | Pridané: 10.9.2018 16:13 MD5 už nie je považované za secure and reliable Odpovedať Hodnotiť:

Re: BGP s MD5 Od reg.: netfix | Pridané: 10.9.2018 17:33 MD5 nie je jediny problem: https://goo.gl/N66xmy Odpovedať Hodnotiť:

prakticky logik Od: syntaxterrorX. XX | Pridané: 10.9.2018 18:23 Pre najväčších géniusov síce asi už niet pomoci, ale menší odborníci by snahu o pochopenie rozdielu medzi MD5 algoritmom a fantazmagorickou snahou o jeho implementáciu pomerom 1:1 i na neprázdnej množine ešte vzdávať priekazne nemuseli. Odpovedať Známka: -5.0 Hodnotiť:

Re: prakticky logik Od: Slovo priekazne nie je spisovné. | Pridané: 10.9.2018 18:39 Slovo priekazne nie je spisovné. Odpovedať Známka: -3.3 Hodnotiť:

Re: BGP s MD5 Od: ericek111 [PC] | Pridané: 10.9.2018 18:53 Pravdu speakuješ, za najsecurnejší algorithm je considerovaný Base 64. Odpovedať Známka: 10.0 Hodnotiť:

Re: BGP s MD5 Od: qweq | Pridané: 11.9.2018 17:10 authentifikacia peerov a verifikacia/validacia oznamovanych prefixov je diametralne odlisna vec Odpovedať Hodnotiť:

Pridať komentár