• Новости
• Блоги
• Аналитика
• Новости компаний
• В СНГ и в мире
• Анонсы

Лучшее — враг хорошего

Qrator Labs предложила использовать объекты с иерархическими цифровыми подписями для верификации маршрутов BGP.

В рамках 102-й международной конференции IETF в Монреале Qrator Labs вынесла на обсуждение два новых черновика стандартов по внесению изменений в работу протокола BGP. Цель изменений — повышение защищенности протокола BGP от аномалий, являющихся как результатом ошибок, так и злонамеренного перехвата трафика (атаки Man-in-the-middle).

Это не первая инициатива компании по совершенствованию экосистемы интернета. В прошлом году Qrator Labs представила новый стандарт расширения BGP, основного протокола динамической маршрутизации в интернете, предназначенного для обмена информацией о достижимости подсетей между автономными системами — группами маршрутизаторов под единым техническим и административным управлением.

Целью предыдущих изменений протокола, обеспечивающего доступность сетей на международном национальном уровне, было повышение его защищенности от перенаправления трафика в результате ошибок сетевых инженеров (BGP route leaks).

Но существуют и другие угрозы. Уже зафиксированы прецеденты намеренного использования уязвимостей протокола BGP для перехвата трафика с последующим перенаправлением пользователей на фишинговые сайты. В результате злоумышленнику становятся доступны логины, пароли и другие пользовательские данные. Этот же инструментарий может быть использован для проведения атак типа «отказ в обслуживании» (DoS). Для защиты от такой хакерской активности предлагалось использовать BGPsec – расширение протокола BGP, добавляющее пошаговые криптографические подписи  для  наиболее важных атрибутов BGP. Однако технология BGPsec оказалась настолько вычислительно дорогой для маршрутизаторов, что ни один оператор связи в мире не стал ее поддерживать. Более того, отсутствует активная работа со стороны поставщиков оборудования, что говорит о незаинтересованности операторов связи во внедрении этой технологии и в дальнейшем.

Вариант, предложенный Qrator Labs, – использовать вместо реализованной внутри протокола строгой криптографической валидации BGPsec внешнюю функцию верификации атрибута AS_PATH, работающую с использованием нового объекта RPKI (Resource Public Key Infrastructure).

Иерархическая система открытых ключей (PKI) использует архитектуру сертификатов, позволяющих определить порядок распределения интернет-ресурсов (IP-адреса и номера автономных систем).  Каждое распределение интернет-ресурсов  (от IANA к одной из пяти региональных интернет-регистратур, далее к сервис-провайдерам, выполняющим роль локальных интеренет-регистратур, далее к их клиентам) сопровождается созданием сертификата, который подписан ключем вышестоящей организации. Совокупность таких сертификатов, привязанных к каждому интернет-ресурсу, составляет базу данных, по которой проверяется достоверность информации. Такие базы данных расположены на публичных RPKI-репозиториях у всех RIR.

В настоящее время в RPKI используется один объект ROA — Route Origin Authorization, с помощью которого операторы могут описывать анонсируемые ими сети. Данный объект используется для фильтрации некоторых типов BGP-аномалий, но не служит защитой от атак злоумышленников.

Qrator Labs предложила ввести новый RPKI-объект ASPA (Autonomous System Provider Authorization), с помощью которого операторы связи смогут регистрировать своих вышестоящих поставщиков, позволяя другим операторам проверять корректность атрибута AS_PATH в маршрутах, получаемых от клиентов и пиринг-партнеров.

Одновременное использование двух типов RPKI-объектов даже при частичном внедрении лишает атакующего возможности сконструировать сообщение BGP, которое будет корректным относительно записей базы данных RPKI. При этом сам атакующий не может создать валидный ASPA- или ROA-объект для чужого адресного пространства или номера автономной системы. Проверка корректности передаваемых данных BGP будет осуществляться маршрутизаторами или выделенными устройствами внутри сети, при этом сам протокол BGP остается без изменений. Важнейшее преимущество по сравнению с BGPSec – защита от перехвата трафика будет работать даже при частичном внедрении этой технологии.

«Мы предлагаем использовать иерархические подписи для верификации маршрутов BGP. Технология, представленная нашей командой на конференции IETF, получилась куда более легковесной, чем ее предыдущие аналоги, поскольку не требует изменения самого протокола  BGP. При этом она позволяет решить 99% проблем с BGP-аномалиями. Наше предложение нашло отклик и со стороны операторов связи, и со стороны регистраторов, но в любом случае пройдет еще несколько лет, прежде чем эта технология начнет внедряться на уровне операторов связи», – пояснил Александр Азимов, сетевой архитектор Qrator Labs.

Оставить свой комментарий:

Комментарии по материалу