neprihlásený Utorok, 25. septembra 2018, dnes má meniny Vladislav   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
Routovanie Internetu bude bezpečnejšie, bezpečnejší BGP napreduje

Značky: routerybezpečnosťInternet

DSL.sk, 10.9.2018


Základná infraštruktúra Internetu v podobe používanej technológie na dynamické routovanie by mohla byť v blízkej budúcnosti odolnejšia a nedovoľovať jednoduché útoky cez protokol BGP, keď aktuálne pokročila iniciatíva nasadenia bezpečnejšieho rozšírenia BGP.

Americké centrum NCCoE pri štandardizačnom inštitúte NIST totiž v rámci projektu SIDR, Secure Inter-Domain Routing, zverejnilo aj na základe testov nasadenia príručku ako nasadiť dôležité zabezpečenie BGP, BGP ROV. Verejná konzultácia k príručke za účelom jej prípadného vylepšenia trvá do polovice októbra.

Protokol BGP, Border Gateway Protocol, je určený pre dynamickú konfiguráciu routovania dátovej prevádzky medzi jednotlivými internetovými sieťami. Prevádzkovatelia a routery ním oznamujú rozsahy IP adries, ktorých routovanie zabezpečujú, spolu s celou cestou routovania v podobe zoznamu sietí až do cieľovej siete. Globálne je na Internete používaných viac ako pol milióna takýchto routovacích ciest.

Keď sa sieť dozvie o novom routovaní od niektorej susediacej siete, podľa nastavení môže pre ďalšie siete s ňou priamo prepojené zabezpečiť pokračovanie tohto routovania, pridá sa do cesty tohto routovania a susediacim sieťam oznámi nové dostupné routovanie pre daný rozsah.

Samotný protokol, ktorý pôvodne vznikol ešte v čase začiatkov rozmachu Internetu, v doterajšej podobe žiadnym spôsobom neautentifikuje jednotlivé oznamované routovania. Kontroly musia aplikovať jednotlivé siete a neakceptovať a neposielať ďalej evidentne nesprávne routovania. Bohužial veľa sietí to nerobí dostatočne respektíve filtruje len naozaj základné problémy.

Už veľakrát sa tak stalo, že cez BGP sa rozšírili evidentne nesprávne routovania a IP pakety boli posielané kam nemali. Prednosť v BGP dostávajú routovania špecifickejších menších rozsahov, nesprávne routovania pre menšie úseky IP adries tak majú prednosť pred štandardným routovaním a môžu sa veľmi rýchlo a ľahko rozšíriť. Niekedy sú takéto incidenty dôsledkom technických chýb, v niektorých prípadoch existuje podozrenie na úmysel a v niektorých išlo o evidentný útok.

Už niekoľko rokov sa pracuje na návrhu nasadenia bezpečnejšej verzie, pričom viaceré technológie za týmto účelom boli štandardizované v rámci IETF pred rokom. Bezpečnejšie riešenie sa spolieha na tri komponenty, RPKI infraštruktúru pre kryptografické podpisovanie a rozšírenia BGP ROV, Route Origin Validation, a BGPsec.

ROV pomocou podpisu overuje, že vlastník daného rozsahu IP adries autorizuje danú sieť aby bola cieľovou destináciou routovania týchto adries. BGPsec zabezpečuje autorizáciu celej routovacej cesty. Podľa NIST je ROV v súčasnosti už široko podporovaný výrobcami routerov, naopak podpora BGPsec ešte nie je dostatočne rozšírená a jeho nasadenie môže byť celkovo komplikované.

Vo svojej príručke sa tak zaoberá nasadením RPKI spolu iba s ROV.


      Zdieľaj na Twitteri



Najnovšie články:

Elektronické schránky pridali preposlanie správ na email a lepšiu prácu s podpismi
Sprístupnený nový macOS 10.14 Mojave
Číňania majú 3 GHz 8-jadrový x86 CPU
Rubikova kocka, ktorá sa zloží sama
Chyba vo Firefox ho umožňuje zhodiť a niekedy zamrznúť Windows
Japonské robotické vozidlo úspešne skáče po asteroide, foto
Programy z Digi a Magia zmizli z ponuky pre chybne vysielané dáta
Uvedený výkonný akcelerátor pre umelú inteligenciu
Štát chce dať 45 miliónov na počítačové bezpečnostné tímy
Musk sľubuje základňu na Marse v 2028


Diskusia:
                               
 

Posielam privátne kľúče.
Odpovedať Známka: 7.3 Hodnotiť:
 

ja kluce od svojho bytu nikomu posielat nebudem..
Odpovedať Známka: 8.8 Hodnotiť:
 

Ani ten verejny?!
Odpovedať Známka: 8.7 Hodnotiť:
 

no veru ani ten od vchodovej brany do baraku
Odpovedať Známka: 10.0 Hodnotiť:
 

priekazne? :-)
Odpovedať Známka: -5.4 Hodnotiť:
 

pokial sa nevolas Janka Hospodarova, tak samozrejme priekazne..
Odpovedať Známka: 1.4 Hodnotiť:
 

Cize okrem vecerov, kedy, ako kazdy tunajsi odbornik, nahodi dark theme, pancusky, lodicky, mejkap, sibalsky usmev, pusti v cmuse Kennyho G a priekazne s nadsenim koreluje?
Odpovedať Známka: -4.0 Hodnotiť:
 

Slovo priekazne nie je spisovné.
Odpovedať Známka: -3.3 Hodnotiť:
 

slovo priekazne je priekazne nespisovne :-)
Odpovedať Hodnotiť:
 

už si ich stratil... :-)
Odpovedať Hodnotiť:
 

bude snáď verzia 5? :))
Odpovedať Hodnotiť:
 

Standardne pouzivane BGP sa da tiez dodatocne zabezpecit pomocou MD5 autentifikacie.
Odpovedať Hodnotiť:
 

MD5 už nie je považované za secure and reliable
Odpovedať Hodnotiť:
 

MD5 nie je jediny problem: https://goo.gl/N66xmy
Odpovedať Hodnotiť:
 

Pre najväčších géniusov síce asi už niet pomoci, ale menší odborníci by snahu o pochopenie rozdielu medzi MD5 algoritmom a fantazmagorickou snahou o jeho implementáciu pomerom 1:1 i na neprázdnej množine ešte vzdávať priekazne nemuseli.
Odpovedať Známka: -5.0 Hodnotiť:
 

Slovo priekazne nie je spisovné.
Odpovedať Známka: -3.3 Hodnotiť:
 

Pravdu speakuješ, za najsecurnejší algorithm je considerovaný Base 64.
Odpovedať Známka: 10.0 Hodnotiť:
 

authentifikacia peerov a verifikacia/validacia oznamovanych prefixov je diametralne odlisna vec
Odpovedať Hodnotiť:

Pridať komentár