neprihlásený Pondelok, 6. decembra 2021, dnes má meniny Mikuláš
Experiment zvýšenia bezpečnosti Internetu spôsobil problémy routerom

Značky: routerybezpečnosťInternet

DSL.sk, 28.1.2019


V januári tím sieťových expertov z viacerých univerzít uskutočnil experiment testovania ich zjednodušenia zvýšenia bezpečnosti protokolu BGP, ktorý ale bohužial nedopadol dobre a na dvakrát spôsobil problémy.

Spolu s detailným popisom na základe komunikácie expertov v mailing liste NANOG na to upozornil Zdnet.

Protokol BGP, Border Gateway Protocol, je určený pre dynamickú konfiguráciu routovania dátovej prevádzky medzi jednotlivými internetovými sieťami. Prevádzkovatelia a routery ním oznamujú rozsahy IP adries, ktorých routovanie zabezpečujú, spolu s celou cestou routovania v podobe zoznamu sietí až do cieľovej siete.

Keď sa sieť dozvie o novom routovaní od niektorej susediacej siete, podľa nastavení môže pre ďalšie siete s ňou priamo prepojené zabezpečiť pokračovanie tohto routovania, pridá sa do cesty tohto routovania a susediacim sieťam oznámi nové dostupné routovanie pre daný rozsah.

Samotný protokol, ktorý pôvodne vznikol ešte v čase začiatkov rozmachu Internetu, v doterajšej podobe žiadnym spôsobom neautentifikuje jednotlivé oznamované routovania. Pomerne často tak prichádza k incidentom, kedy sú ohlasované nesprávne routovania a dátová prevádzka je smerovaná kam by nemala. V niektorých prípadoch sa tak deje pre omyly alebo technické problémy, v iných prípadoch je prevádzka presmerovávaná úmyselne.

Už nejaký čas sa pripravuje ale rozšírenie BGP určené pre výrazne zvýšenie bezpečnosti v podobe trojice komponentov, RPKI infraštruktúry pre kryptografické podpisovanie, BGP ROV, Route Origin Validation, a BGPsec. Tie spolu zabezpečia overovanie routovaní pomocou kryptografických podpisov. ROV pomocou podpisu overuje, že vlastník daného rozsahu IP adries autorizuje danú sieť aby bola cieľovou destináciou routovania týchto adries. BGPsec zabezpečuje autorizáciu celej routovacej cesty.

V blízkej budúcnosti sa počíta najskôr najmä s nasadením ROV. Podľa expertov za aktuálnym experimentom je ale nasadzovanie RPKI a ROV pomalé a komplikované. RPKI totiž vyžaduje hierarchické certifikovanie vlastníkov IP rozsahov, čo je v súčasnosti manuálny proces a navyše v ňom dochádza k chybám.

Experti preto navrhli mechanizmus DISCO, ktorý by certifikáciou neoveroval oficiálne vlastníctvo ale aktuálne technické držanie daného IP rozsahu. To je možné robiť aj plne automaticky a umožnilo by to zrejme nasadiť ROV pomerne efektívne, na druhej strane na mechanizmus by sa dalo útočiť podobne ako na BGP v súčasnosti podľa expertov ale výrazne náročnejším spôsobom.

V každom prípade experiment testovania nového spôsobu nedopadol dobre. Mechanizmus používa inak nepoužívaný BGP atribút podľa expertov v súlade so štandardom, s ktorým mali pri teste na začiatku mesiaca ale najskôr problém routery používajúce softvér FRRouting. Experiment bol zastavený a tvorcovia FRRouting problém opravili, uplynulý týždeň tak bol experiment zopakovaný.

Opäť mal ale ďalší BGP softvér problémy s týmto atribútom. Hoci nie je jasné ako rozsiahle boli tieto problémy, v prvotnej reakcii experti následne avizovali zrušenie experimentu.


      Zdieľaj na Twitteri



Najnovšie články:

UPC vo vianočnej akcii sprístupňuje viac ako dvadsať TV staníc
Predstavené výkonnejšie RISC-V jadro
Európa po dlhšom čase vypustila ďalšie Galileo satelity
Windows 11 má mať už podiel viac ako 8%
TSMC odštartovala pilotnú výrobu 3-nm čipov
Helikoptéra na Marse uskutoční ďalší let
Tvorcovia Raspberry Pi pripravujú 64-bitový OS, sprístupnili verziu postavenú na staršom Debiane
Seagate uviedol 20 TB disky, aj pre NAS-y
USA chcú zastaviť akvizíciu ARM-u Nvidiou
Telekom spustil 5G roaming


Diskusia:
                               
 

"mechanizmus DISCO" vivat 90-te roky
Odpovedať Známka: -1.0 Hodnotiť:
 

Som toho nazoru ze ked sa k danej teme neviem vyjadrit nerobim zo seba k0k0ta
Odpovedať Známka: 6.3 Hodnotiť:
 

Lenze kto sa tak uz narodi, nema moznost vyberu, co je nazorovo priekazne diskriminacny postoj.
Odpovedať Známka: 0.7 Hodnotiť:
 

trapne
Odpovedať Známka: 6.0 Hodnotiť:
 

https://youtu.be/vrphLUWZv3Q

tento song by bol hned 100x lepsi,
keby boli lyrics: "cisco! cisco! porty! porty!"
Odpovedať Známka: -3.3 Hodnotiť:
 

A prečo sa nedržíš svojho názoru?
Odpovedať Známka: 2.5 Hodnotiť:
 

on bol trapny, ty si uz len kokot
Odpovedať Známka: -3.3 Hodnotiť:
 

no ja sa mozem len dohadovat, ale myslim ze Pakistan uz raz zhodil podstatnu cast internetu... tiez tam nejaky technicky problem... asi si to ich vyzkumnici na univerzitach vyskusali znova...
Odpovedať Známka: 7.5 Hodnotiť:
 

Znamená to že nebezpečný internet je bezpečnější?
Odpovedať Známka: 10.0 Hodnotiť:
 

S ospravedlnením, však tento atribút nikto (zatiaľ) nepoužíva...
Odpovedať Hodnotiť:

Pridať komentár