neprihlásený Utorok, 20. novembra 2018, dnes má meniny Félix   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
Routovanie Internetu bude bezpečnejšie, bezpečnejší BGP napreduje

Značky: routerybezpečnosťInternet

DSL.sk, 10.9.2018


Základná infraštruktúra Internetu v podobe používanej technológie na dynamické routovanie by mohla byť v blízkej budúcnosti odolnejšia a nedovoľovať jednoduché útoky cez protokol BGP, keď aktuálne pokročila iniciatíva nasadenia bezpečnejšieho rozšírenia BGP.

Americké centrum NCCoE pri štandardizačnom inštitúte NIST totiž v rámci projektu SIDR, Secure Inter-Domain Routing, zverejnilo aj na základe testov nasadenia príručku ako nasadiť dôležité zabezpečenie BGP, BGP ROV. Verejná konzultácia k príručke za účelom jej prípadného vylepšenia trvá do polovice októbra.

Protokol BGP, Border Gateway Protocol, je určený pre dynamickú konfiguráciu routovania dátovej prevádzky medzi jednotlivými internetovými sieťami. Prevádzkovatelia a routery ním oznamujú rozsahy IP adries, ktorých routovanie zabezpečujú, spolu s celou cestou routovania v podobe zoznamu sietí až do cieľovej siete. Globálne je na Internete používaných viac ako pol milióna takýchto routovacích ciest.

Keď sa sieť dozvie o novom routovaní od niektorej susediacej siete, podľa nastavení môže pre ďalšie siete s ňou priamo prepojené zabezpečiť pokračovanie tohto routovania, pridá sa do cesty tohto routovania a susediacim sieťam oznámi nové dostupné routovanie pre daný rozsah.

Samotný protokol, ktorý pôvodne vznikol ešte v čase začiatkov rozmachu Internetu, v doterajšej podobe žiadnym spôsobom neautentifikuje jednotlivé oznamované routovania. Kontroly musia aplikovať jednotlivé siete a neakceptovať a neposielať ďalej evidentne nesprávne routovania. Bohužial veľa sietí to nerobí dostatočne respektíve filtruje len naozaj základné problémy.

Už veľakrát sa tak stalo, že cez BGP sa rozšírili evidentne nesprávne routovania a IP pakety boli posielané kam nemali. Prednosť v BGP dostávajú routovania špecifickejších menších rozsahov, nesprávne routovania pre menšie úseky IP adries tak majú prednosť pred štandardným routovaním a môžu sa veľmi rýchlo a ľahko rozšíriť. Niekedy sú takéto incidenty dôsledkom technických chýb, v niektorých prípadoch existuje podozrenie na úmysel a v niektorých išlo o evidentný útok.

Už niekoľko rokov sa pracuje na návrhu nasadenia bezpečnejšej verzie, pričom viaceré technológie za týmto účelom boli štandardizované v rámci IETF pred rokom. Bezpečnejšie riešenie sa spolieha na tri komponenty, RPKI infraštruktúru pre kryptografické podpisovanie a rozšírenia BGP ROV, Route Origin Validation, a BGPsec.

ROV pomocou podpisu overuje, že vlastník daného rozsahu IP adries autorizuje danú sieť aby bola cieľovou destináciou routovania týchto adries. BGPsec zabezpečuje autorizáciu celej routovacej cesty. Podľa NIST je ROV v súčasnosti už široko podporovaný výrobcami routerov, naopak podpora BGPsec ešte nie je dostatočne rozšírená a jeho nasadenie môže byť celkovo komplikované.

Vo svojej príručke sa tak zaoberá nasadením RPKI spolu iba s ROV.


      Zdieľaj na Twitteri



Najnovšie články:

Jediná loď na Mars za štyri roky pristane presne o týždeň
Najnovšia ochrana proti Spectre výrazne znížila výkon Linuxu na Inteloch
Ubuntu 18.04 bude podporované až 10 rokov
Futuristický senzor na oku od Google nebude, nefungoval
Uvedený ďalší QLC SSD, prvý od nezávislého výrobcu
Kilogram a tri ďalšie základné jednotky boli predefinované
NASA na diaľku vypla Keplerov teleskop
Potenciálne známa náplň ďalšieho Star Trek seriálu
SpaceX má povolenie na ďalších 7518 satelitov pre poskytovanie Internetu
Štáty dnes schvaľujú predefinovanie kilogramu


Diskusia:
                               
 

Posielam privátne kľúče.
Odpovedať Známka: 7.3 Hodnotiť:
 

ja kluce od svojho bytu nikomu posielat nebudem..
Odpovedať Známka: 8.8 Hodnotiť:
 

Ani ten verejny?!
Odpovedať Známka: 8.7 Hodnotiť:
 

no veru ani ten od vchodovej brany do baraku
Odpovedať Známka: 10.0 Hodnotiť:
 

priekazne? :-)
Odpovedať Známka: -5.4 Hodnotiť:
 

pokial sa nevolas Janka Hospodarova, tak samozrejme priekazne..
Odpovedať Známka: 1.4 Hodnotiť:
 

Cize okrem vecerov, kedy, ako kazdy tunajsi odbornik, nahodi dark theme, pancusky, lodicky, mejkap, sibalsky usmev, pusti v cmuse Kennyho G a priekazne s nadsenim koreluje?
Odpovedať Známka: -4.0 Hodnotiť:
 

Slovo priekazne nie je spisovné.
Odpovedať Známka: -3.3 Hodnotiť:
 

slovo priekazne je priekazne nespisovne :-)
Odpovedať Hodnotiť:
 

už si ich stratil... :-)
Odpovedať Hodnotiť:
 

bude snáď verzia 5? :))
Odpovedať Hodnotiť:
 

Standardne pouzivane BGP sa da tiez dodatocne zabezpecit pomocou MD5 autentifikacie.
Odpovedať Hodnotiť:
 

MD5 už nie je považované za secure and reliable
Odpovedať Hodnotiť:
 

MD5 nie je jediny problem: https://goo.gl/N66xmy
Odpovedať Hodnotiť:
 

Pre najväčších géniusov síce asi už niet pomoci, ale menší odborníci by snahu o pochopenie rozdielu medzi MD5 algoritmom a fantazmagorickou snahou o jeho implementáciu pomerom 1:1 i na neprázdnej množine ešte vzdávať priekazne nemuseli.
Odpovedať Známka: -5.0 Hodnotiť:
 

Slovo priekazne nie je spisovné.
Odpovedať Známka: -3.3 Hodnotiť:
 

Pravdu speakuješ, za najsecurnejší algorithm je considerovaný Base 64.
Odpovedať Známka: 10.0 Hodnotiť:
 

authentifikacia peerov a verifikacia/validacia oznamovanych prefixov je diametralne odlisna vec
Odpovedať Hodnotiť:

Pridať komentár