neprihlásený Štvrtok, 22. novembra 2018, dnes má meniny Cecília   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
Routovanie Internetu bude bezpečnejšie, bezpečnejší BGP napreduje

Značky: routerybezpečnosťInternet

DSL.sk, 10.9.2018


Základná infraštruktúra Internetu v podobe používanej technológie na dynamické routovanie by mohla byť v blízkej budúcnosti odolnejšia a nedovoľovať jednoduché útoky cez protokol BGP, keď aktuálne pokročila iniciatíva nasadenia bezpečnejšieho rozšírenia BGP.

Americké centrum NCCoE pri štandardizačnom inštitúte NIST totiž v rámci projektu SIDR, Secure Inter-Domain Routing, zverejnilo aj na základe testov nasadenia príručku ako nasadiť dôležité zabezpečenie BGP, BGP ROV. Verejná konzultácia k príručke za účelom jej prípadného vylepšenia trvá do polovice októbra.

Protokol BGP, Border Gateway Protocol, je určený pre dynamickú konfiguráciu routovania dátovej prevádzky medzi jednotlivými internetovými sieťami. Prevádzkovatelia a routery ním oznamujú rozsahy IP adries, ktorých routovanie zabezpečujú, spolu s celou cestou routovania v podobe zoznamu sietí až do cieľovej siete. Globálne je na Internete používaných viac ako pol milióna takýchto routovacích ciest.

Keď sa sieť dozvie o novom routovaní od niektorej susediacej siete, podľa nastavení môže pre ďalšie siete s ňou priamo prepojené zabezpečiť pokračovanie tohto routovania, pridá sa do cesty tohto routovania a susediacim sieťam oznámi nové dostupné routovanie pre daný rozsah.

Samotný protokol, ktorý pôvodne vznikol ešte v čase začiatkov rozmachu Internetu, v doterajšej podobe žiadnym spôsobom neautentifikuje jednotlivé oznamované routovania. Kontroly musia aplikovať jednotlivé siete a neakceptovať a neposielať ďalej evidentne nesprávne routovania. Bohužial veľa sietí to nerobí dostatočne respektíve filtruje len naozaj základné problémy.

Už veľakrát sa tak stalo, že cez BGP sa rozšírili evidentne nesprávne routovania a IP pakety boli posielané kam nemali. Prednosť v BGP dostávajú routovania špecifickejších menších rozsahov, nesprávne routovania pre menšie úseky IP adries tak majú prednosť pred štandardným routovaním a môžu sa veľmi rýchlo a ľahko rozšíriť. Niekedy sú takéto incidenty dôsledkom technických chýb, v niektorých prípadoch existuje podozrenie na úmysel a v niektorých išlo o evidentný útok.

Už niekoľko rokov sa pracuje na návrhu nasadenia bezpečnejšej verzie, pričom viaceré technológie za týmto účelom boli štandardizované v rámci IETF pred rokom. Bezpečnejšie riešenie sa spolieha na tri komponenty, RPKI infraštruktúru pre kryptografické podpisovanie a rozšírenia BGP ROV, Route Origin Validation, a BGPsec.

ROV pomocou podpisu overuje, že vlastník daného rozsahu IP adries autorizuje danú sieť aby bola cieľovou destináciou routovania týchto adries. BGPsec zabezpečuje autorizáciu celej routovacej cesty. Podľa NIST je ROV v súčasnosti už široko podporovaný výrobcami routerov, naopak podpora BGPsec ešte nie je dostatočne rozšírená a jeho nasadenie môže byť celkovo komplikované.

Vo svojej príručke sa tak zaoberá nasadením RPKI spolu iba s ROV.


      Zdieľaj na Twitteri



Najnovšie články:

Ďalšia vláda zakáže autá so spaľovacím motorom
Dekóder AV1 od VLC je výrazne rýchlejší a takmer hotový
Vyvinuté lietadlo s pohonom bez pohyblivých častí
Samsung má chystať až štyri verzie Galaxy S10
YouTube má populárne filmy zadarmo, ale nie zo Slovenska
Certifikáty na eID je cez Internet možné získať už aj z Linuxu a macOS
Ohlásená veľká aktualizácia pre Civilization VI
Nemecko stanovilo pravidlá pre bezpečnejšie domáce routery
Mars neosídlime, myslí si populárny popularizátor vedy
Musk už dokonca hovorí o medzihviezdnych letoch


Diskusia:
                               
 

Posielam privátne kľúče.
Odpovedať Známka: 7.3 Hodnotiť:
 

ja kluce od svojho bytu nikomu posielat nebudem..
Odpovedať Známka: 8.8 Hodnotiť:
 

Ani ten verejny?!
Odpovedať Známka: 8.7 Hodnotiť:
 

no veru ani ten od vchodovej brany do baraku
Odpovedať Známka: 10.0 Hodnotiť:
 

priekazne? :-)
Odpovedať Známka: -5.4 Hodnotiť:
 

pokial sa nevolas Janka Hospodarova, tak samozrejme priekazne..
Odpovedať Známka: 1.4 Hodnotiť:
 

Cize okrem vecerov, kedy, ako kazdy tunajsi odbornik, nahodi dark theme, pancusky, lodicky, mejkap, sibalsky usmev, pusti v cmuse Kennyho G a priekazne s nadsenim koreluje?
Odpovedať Známka: -4.0 Hodnotiť:
 

Slovo priekazne nie je spisovné.
Odpovedať Známka: -3.3 Hodnotiť:
 

slovo priekazne je priekazne nespisovne :-)
Odpovedať Hodnotiť:
 

už si ich stratil... :-)
Odpovedať Hodnotiť:
 

bude snáď verzia 5? :))
Odpovedať Hodnotiť:
 

Standardne pouzivane BGP sa da tiez dodatocne zabezpecit pomocou MD5 autentifikacie.
Odpovedať Hodnotiť:
 

MD5 už nie je považované za secure and reliable
Odpovedať Hodnotiť:
 

MD5 nie je jediny problem: https://goo.gl/N66xmy
Odpovedať Hodnotiť:
 

Pre najväčších géniusov síce asi už niet pomoci, ale menší odborníci by snahu o pochopenie rozdielu medzi MD5 algoritmom a fantazmagorickou snahou o jeho implementáciu pomerom 1:1 i na neprázdnej množine ešte vzdávať priekazne nemuseli.
Odpovedať Známka: -5.0 Hodnotiť:
 

Slovo priekazne nie je spisovné.
Odpovedať Známka: -3.3 Hodnotiť:
 

Pravdu speakuješ, za najsecurnejší algorithm je considerovaný Base 64.
Odpovedať Známka: 10.0 Hodnotiť:
 

authentifikacia peerov a verifikacia/validacia oznamovanych prefixov je diametralne odlisna vec
Odpovedať Hodnotiť:

Pridať komentár