neprihlásený Pondelok, 18. februára 2019, dnes má meniny Jaromír   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
Routovanie Internetu bude bezpečnejšie, bezpečnejší BGP napreduje

Značky: routerybezpečnosťInternet

DSL.sk, 10.9.2018


Základná infraštruktúra Internetu v podobe používanej technológie na dynamické routovanie by mohla byť v blízkej budúcnosti odolnejšia a nedovoľovať jednoduché útoky cez protokol BGP, keď aktuálne pokročila iniciatíva nasadenia bezpečnejšieho rozšírenia BGP.

Americké centrum NCCoE pri štandardizačnom inštitúte NIST totiž v rámci projektu SIDR, Secure Inter-Domain Routing, zverejnilo aj na základe testov nasadenia príručku ako nasadiť dôležité zabezpečenie BGP, BGP ROV. Verejná konzultácia k príručke za účelom jej prípadného vylepšenia trvá do polovice októbra.

Protokol BGP, Border Gateway Protocol, je určený pre dynamickú konfiguráciu routovania dátovej prevádzky medzi jednotlivými internetovými sieťami. Prevádzkovatelia a routery ním oznamujú rozsahy IP adries, ktorých routovanie zabezpečujú, spolu s celou cestou routovania v podobe zoznamu sietí až do cieľovej siete. Globálne je na Internete používaných viac ako pol milióna takýchto routovacích ciest.

Keď sa sieť dozvie o novom routovaní od niektorej susediacej siete, podľa nastavení môže pre ďalšie siete s ňou priamo prepojené zabezpečiť pokračovanie tohto routovania, pridá sa do cesty tohto routovania a susediacim sieťam oznámi nové dostupné routovanie pre daný rozsah.

Samotný protokol, ktorý pôvodne vznikol ešte v čase začiatkov rozmachu Internetu, v doterajšej podobe žiadnym spôsobom neautentifikuje jednotlivé oznamované routovania. Kontroly musia aplikovať jednotlivé siete a neakceptovať a neposielať ďalej evidentne nesprávne routovania. Bohužial veľa sietí to nerobí dostatočne respektíve filtruje len naozaj základné problémy.

Už veľakrát sa tak stalo, že cez BGP sa rozšírili evidentne nesprávne routovania a IP pakety boli posielané kam nemali. Prednosť v BGP dostávajú routovania špecifickejších menších rozsahov, nesprávne routovania pre menšie úseky IP adries tak majú prednosť pred štandardným routovaním a môžu sa veľmi rýchlo a ľahko rozšíriť. Niekedy sú takéto incidenty dôsledkom technických chýb, v niektorých prípadoch existuje podozrenie na úmysel a v niektorých išlo o evidentný útok.

Už niekoľko rokov sa pracuje na návrhu nasadenia bezpečnejšej verzie, pričom viaceré technológie za týmto účelom boli štandardizované v rámci IETF pred rokom. Bezpečnejšie riešenie sa spolieha na tri komponenty, RPKI infraštruktúru pre kryptografické podpisovanie a rozšírenia BGP ROV, Route Origin Validation, a BGPsec.

ROV pomocou podpisu overuje, že vlastník daného rozsahu IP adries autorizuje danú sieť aby bola cieľovou destináciou routovania týchto adries. BGPsec zabezpečuje autorizáciu celej routovacej cesty. Podľa NIST je ROV v súčasnosti už široko podporovaný výrobcami routerov, naopak podpora BGPsec ešte nie je dostatočne rozšírená a jeho nasadenie môže byť celkovo komplikované.

Vo svojej príručke sa tak zaoberá nasadením RPKI spolu iba s ROV.


      Zdieľaj na Twitteri



Najnovšie články:

Chrome mal znemožniť niektoré blokovače reklamy, Google po kritike čiastočne ustupuje
Samsung končí s Blu-ray prehrávačmi
Aktualizácie Windows 10 pre firmy sa menia, MS už nebude signalizovať overenú verziu
NASA skúsi odkloniť asteroid nárazom sondy
Intel možno chystá CPU s veľkou eDRAM cache
Satelit otestoval chytanie vesmírneho odpadu harpúnou, video
Pulzary po navigácii použité aj ako presné hodiny
Česi najmenej obmedzujú mobilné aplikácie, Slováci pod priemerom
Drony DJI dostávajú na Slovensku blokovanie zakázaných zón
Na Raspberry Pi sa dá nainštalovať plná verzia Windows 10


Diskusia:
                               
 

Posielam privátne kľúče.
Odpovedať Známka: 7.3 Hodnotiť:
 

ja kluce od svojho bytu nikomu posielat nebudem..
Odpovedať Známka: 8.8 Hodnotiť:
 

Ani ten verejny?!
Odpovedať Známka: 8.7 Hodnotiť:
 

no veru ani ten od vchodovej brany do baraku
Odpovedať Známka: 10.0 Hodnotiť:
 

priekazne? :-)
Odpovedať Známka: -5.4 Hodnotiť:
 

pokial sa nevolas Janka Hospodarova, tak samozrejme priekazne..
Odpovedať Známka: 1.4 Hodnotiť:
 

Cize okrem vecerov, kedy, ako kazdy tunajsi odbornik, nahodi dark theme, pancusky, lodicky, mejkap, sibalsky usmev, pusti v cmuse Kennyho G a priekazne s nadsenim koreluje?
Odpovedať Známka: -4.0 Hodnotiť:
 

Slovo priekazne nie je spisovné.
Odpovedať Známka: -3.3 Hodnotiť:
 

slovo priekazne je priekazne nespisovne :-)
Odpovedať Hodnotiť:
 

už si ich stratil... :-)
Odpovedať Hodnotiť:
 

bude snáď verzia 5? :))
Odpovedať Hodnotiť:
 

Standardne pouzivane BGP sa da tiez dodatocne zabezpecit pomocou MD5 autentifikacie.
Odpovedať Hodnotiť:
 

MD5 už nie je považované za secure and reliable
Odpovedať Hodnotiť:
 

MD5 nie je jediny problem: https://goo.gl/N66xmy
Odpovedať Hodnotiť:
 

Pre najväčších géniusov síce asi už niet pomoci, ale menší odborníci by snahu o pochopenie rozdielu medzi MD5 algoritmom a fantazmagorickou snahou o jeho implementáciu pomerom 1:1 i na neprázdnej množine ešte vzdávať priekazne nemuseli.
Odpovedať Známka: -5.0 Hodnotiť:
 

Slovo priekazne nie je spisovné.
Odpovedať Známka: -3.3 Hodnotiť:
 

Pravdu speakuješ, za najsecurnejší algorithm je considerovaný Base 64.
Odpovedať Známka: 10.0 Hodnotiť:
 

authentifikacia peerov a verifikacia/validacia oznamovanych prefixov je diametralne odlisna vec
Odpovedať Hodnotiť:

Pridať komentár