  |
Za poslednú hodinu: 105 meraní | ||||
|
inzercia |
|||||
 
neprihlásený 
| Streda, 24. apríla 2024, dnes má meniny Juraj |
|
Experiment zvýšenia bezpečnosti Internetu spôsobil problémy routerom
routery
V januári tím sieťových expertov z viacerých univerzít uskutočnil experiment testovania ich zjednodušenia zvýšenia bezpečnosti protokolu BGP, ktorý ale bohužial nedopadol dobre a na dvakrát spôsobil problémy. Spolu s detailným popisom na základe komunikácie expertov v mailing liste NANOG na to upozornil Zdnet. Protokol BGP, Border Gateway Protocol, je určený pre dynamickú konfiguráciu routovania dátovej prevádzky medzi jednotlivými internetovými sieťami. Prevádzkovatelia a routery ním oznamujú rozsahy IP adries, ktorých routovanie zabezpečujú, spolu s celou cestou routovania v podobe zoznamu sietí až do cieľovej siete. Keď sa sieť dozvie o novom routovaní od niektorej susediacej siete, podľa nastavení môže pre ďalšie siete s ňou priamo prepojené zabezpečiť pokračovanie tohto routovania, pridá sa do cesty tohto routovania a susediacim sieťam oznámi nové dostupné routovanie pre daný rozsah. Samotný protokol, ktorý pôvodne vznikol ešte v čase začiatkov rozmachu Internetu, v doterajšej podobe žiadnym spôsobom neautentifikuje jednotlivé oznamované routovania. Pomerne často tak prichádza k incidentom, kedy sú ohlasované nesprávne routovania a dátová prevádzka je smerovaná kam by nemala. V niektorých prípadoch sa tak deje pre omyly alebo technické problémy, v iných prípadoch je prevádzka presmerovávaná úmyselne. Už nejaký čas sa pripravuje ale rozšírenie BGP určené pre výrazne zvýšenie bezpečnosti v podobe trojice komponentov, RPKI infraštruktúry pre kryptografické podpisovanie, BGP ROV, Route Origin Validation, a BGPsec. Tie spolu zabezpečia overovanie routovaní pomocou kryptografických podpisov. ROV pomocou podpisu overuje, že vlastník daného rozsahu IP adries autorizuje danú sieť aby bola cieľovou destináciou routovania týchto adries. BGPsec zabezpečuje autorizáciu celej routovacej cesty. V blízkej budúcnosti sa počíta najskôr najmä s nasadením ROV. Podľa expertov za aktuálnym experimentom je ale nasadzovanie RPKI a ROV pomalé a komplikované. RPKI totiž vyžaduje hierarchické certifikovanie vlastníkov IP rozsahov, čo je v súčasnosti manuálny proces a navyše v ňom dochádza k chybám. Experti preto navrhli mechanizmus DISCO, ktorý by certifikáciou neoveroval oficiálne vlastníctvo ale aktuálne technické držanie daného IP rozsahu. To je možné robiť aj plne automaticky a umožnilo by to zrejme nasadiť ROV pomerne efektívne, na druhej strane na mechanizmus by sa dalo útočiť podobne ako na BGP v súčasnosti podľa expertov ale výrazne náročnejším spôsobom. V každom prípade experiment testovania nového spôsobu nedopadol dobre. Mechanizmus používa inak nepoužívaný BGP atribút podľa expertov v súlade so štandardom, s ktorým mali pri teste na začiatku mesiaca ale najskôr problém routery používajúce softvér FRRouting. Experiment bol zastavený a tvorcovia FRRouting problém opravili, uplynulý týždeň tak bol experiment zopakovaný. Opäť mal ale ďalší BGP softvér problémy s týmto atribútom. Hoci nie je jasné ako rozsiahle boli tieto problémy, v prvotnej reakcii experti následne avizovali zrušenie experimentu. 
Najnovšie články: inzercia Diskusia:
Pridať komentár | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
