The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

01.10.2017 10:53  BGPsec получил статус предложенного стандарта

Комитет IETF (Internet Engineering Task Force), занимающийся развитием протоколов и архитектуры интернета, завершил формирование RFC для протокола BGPsec и опубликовал связанную с ним спецификацию под идентификатором RFC 8205. RFC получил статус "Предложенного стандарта", после чего начнётся работа по приданию RFC статуса чернового стандарта (Draft Standard), фактически означающего полную стабилизацию протокола и учёт всех высказанных замечаний.

BGPsec определяет расширение для протокола маршрутизации BGP (Border Gateway Protocol), обеспечивающее авторизацию списка автономных систем (AS), передаваемых в сообщениях об обновлении маршрута (BGP UPDATE), привязывая их к точке доверия (Trust Anchor). Изначально протокол BGP не предусматривал средств для защиты от модификации цепочки AS, что создавало угрозу совершения атак по перенаправлению трафика на сторонние узлы через подстановку фиктивных записей в AS_Path.

Например, в 2008 году попытка блокировки YouTube в Пакистане, выполненная через заворачивание подсети YouTube на интерфейс null0, привела к публикации ошибочного BGP-анонса и стеканию трафика YouTube в Пакистан. В апреле нынешнего года зафиксировано перенаправление трафика Visa, MasterCard и некоторых банков в сеть Ростелекома из-за того, что по ошибке связанные с ними автономные системы были анонсированы по BGP как находящиеся в сети Ростелекома.

BGPsec вводит в обиход новый непереходящий атрибут BGPsec_Path, который можно использовать вместо атрибута AS_Path. Кроме списка автономных систем в BGPsec_Path также приводятся сведения о цифровых подписях, добавляемых на каждом узле и позволяющих при получении сообщения BGP UPDATE удостовериться в том, что полученный от предыдущих узлов список автономных систем не был модифицирован. Цифровая подпись добавляется на граничном маршрутизаторе каждой автономной системы, через которую проходит маршрут, и удостоверяет, что на данном участке маршрут передан через системы, указанные в AS_Path. Указанная техника не позволяет поменять какие-то значения AS_Path и гарантирует, что каждая автономная система, перечисленная в сообщении UPDATE, авторизировала анонс маршрута.

Цифровые подписи формируются при помощи фреймворка RPKI (Resource Public Key Infrastructure), применяющего методы инфраструктуры открытых ключей для построения цепочки доверия к сетевым ресурсам. По аналогии со схемой, когда удостоверяющий центр заверяет SSL-сертификат сайта, в RPKI для автономных систем и IP-адресов строится цепочка доверия от IANA к региональным регистраторам (RIRs), а затем к провайдерам (LIR) и конечным потребителям. В итоге, RPKI позволяет третьим лицам удостовериться, что операция с ресурсом была произведена его владельцем.

  1. Главная ссылка к новости (http://www.ietf.org/mail-archi...)
  2. OpenNews: Зафиксировано перенаправление трафика крупнейших финансовых сервисов через BGP
  3. OpenNews: В рамках проекта GoBGP развивается реализация протокола BGP на языке Go
  4. OpenNews: Проблемы в BGP названы одной из самых опасных уязвимостей Интернета
  5. OpenNews: Выявлена техника MITM-атак, основанная на подстановке фиктивных BGP-маршрутов
  6. OpenNews: Разбор причин нарушения работы сети Internet, вызванных некорректным BGP анонсом
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: bgp, route, bgpsec
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, zanswer CCNA RS and S, 12:02, 01/10/2017 [ответить] [смотреть все]
  • +/
    Интересно, как будет выглядеть процедура внедрения данного расширения, не техническая процедура конечно, а административная. Наличие RFC вовсе не означает следование его букве, каждой автономной системой, в части его реализации.
     
     
  • 2.2, Аноним, 12:09, 01/10/2017 [^] [ответить] [смотреть все] [показать ветку]
  • +2 +/
    Добровольно и с песней будет, потому что для администраторов сетей это решение п... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.4, zanswer CCNA RS and S, 12:56, 01/10/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Что-то опыт других таких же решающих проблемы безопасности RFC, которые почему-т... весь текст скрыт [показать]
     
  • 3.9, qq, 16:50, 01/10/2017 [^] [ответить] [смотреть все]  
  • +6 +/
    Аха, конечно любой админ может прийти к директору и взять на новое железо несколько лямов, и любой бухгалтер с удовольствием найдет в бюджете эти деньги
     
  • 3.12, ram_scan, 20:18, 01/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Не будет Во первых не предъявив кучу бумажных документов поиграть с BGP в миров... весь текст скрыт [показать]
     
     
  • 4.15, nikosd, 04:51, 02/10/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Для поиграть с BGP в России надо только иметь примерно 2К USD, это вполне поз... весь текст скрыт [показать]
     
     
  • 5.24, Аноним, 22:23, 02/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Так, это их проблемы Вопрос административно решается вполне нормально, как пока... весь текст скрыт [показать]
     
     
  • 6.28, nikosd, 22:47, 02/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Интересно как Вы собираетесь обязать RIR что-либо делать Ну и как обяжете все... весь текст скрыт [показать]
     
     
  • 7.29, Аноним, 00:17, 03/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Для этого есть icann и iana Глядя на бд arin, становится страшно Их давно пора... весь текст скрыт [показать]
     
     
  • 8.31, nikosd, 15:00, 03/10/2017 [^] [ответить] [смотреть все]  
  • +/
    ага, при этом ICANN вообще не имеет рычагов воздествия на RIR В каком мире ... весь текст скрыт [показать]
     
     
  • 9.32, anonymous, 16:21, 03/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Это как же Насколько я знаю, именно icann присваивает статус rir И вообще, к... весь текст скрыт [показать]
     
  • 3.26, Аноним, 22:27, 02/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Это не нужно адм сетей... весь текст скрыт [показать]
     
  • 3.27, Аноним, 22:28, 02/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Какие проблемы с безопасностью ... весь текст скрыт [показать]
     
  • 2.8, пох, 15:11, 01/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    боюсь, никак Ничего не хочу знать о том, сколько именно займет единичный full-v... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.11, zanswer CCNA RS and S, 19:40, 01/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Вполне вероятно, что и не прийдётся, он имеет статус опционального не транзитивн... весь текст скрыт [показать]
     
     
  • 4.16, _, 16:41, 02/10/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    Для тех кто знаком с SMTP - помните времена когда можно было не прикручивать TLS... весь текст скрыт [показать]
     
  • 3.35, Vladimir Goncharov, 20:17, 03/10/2017 [^] [ответить] [смотреть все]  
  • +/
    На роутерах обычно проблемы с дорогущей CAM TCAM памятью, в которой хранится FIB... весь текст скрыт [показать]
     
  • 1.3, Аноним, 12:10, 01/10/2017 [ответить] [смотреть все]  
  • +/
    Когда антиспуфинг в БГП будет? Тоже все грозились, что уже подают заявки.
     
     
  • 2.5, zanswer CCNA RS and S, 13:05, 01/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Вы говорите о 171 BGP Anti-Spoofing Extension BASE 187 или о чём-то другом... весь текст скрыт [показать] [показать ветку]
     
  • 2.6, t28, 13:07, 01/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > антиспуфинг в БГП будет

    … в каком-то другом Интернете.

     
  • 1.7, Аноним, 15:00, 01/10/2017 [ответить] [смотреть все]  
  • +1 +/
    наконец-то.
     
  • 1.10, Нанобот, 19:37, 01/10/2017 [ответить] [смотреть все]  
  • +1 +/
    подозреваю, что внедрение затянется на десятилетие-другое
     
     
  • 2.13, Pahanivo, 22:24, 01/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > подозреваю, что внедрение затянется на десятилетие-другое

    как с ipv6 ))

     
     
  • 3.25, Аноним, 22:24, 02/10/2017 [^] [ответить] [смотреть все]  
  • +/
    ipv6 тормозит сам ripe... весь текст скрыт [показать]
     
  • 1.14, A, 22:29, 01/10/2017 [ответить] [смотреть все]  
  • +2 +/
    Чтобы внедрить это чудо, нужно будет (всего-то ничего!) обновить прошивки на многих (хорошо бы - всех) BGP-роутерах.

    Хотим мы того, или нет, это нереально. Часть железок никогда не обновляется ("работает - не трогай", и "а у нас нет доступа к свежим IOS, чтобы обновляться"), часть даже не обслуживается админами постоянно (т.е. настроил кто-то, и оно работает).

    В общем, спасибо за предложение, но... не будет этого в жизни.

    Не говоря, что некоторая часть админов просто не осилит еще и тут ключи внедрять, и внедрение этого чуда еще и поломает связность там, где раньше она хотя бы была.

     
     
  • 2.17, Аноним, 18:38, 02/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    BGP-роутеры не вечны Даже если прошивку не обновлять, рано или поздно встанет в... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.33, пох, 17:40, 03/10/2017 [^] [ответить] [смотреть все]  
  • +/
    > BGP-роутеры не вечны.

    оптимииииист... Как тебе 7200 в роли пира? Да, там не full-view, но и не полтора инвалида - вполне себе живой и работающий оператор связи за ней.

    Ну и помимо проблем с операторами, есть еще такая "мелкая" проблема как требуемый этой фичей объем памяти - что мелкий оператор-то решит заменой железа, когда-нибудь, теоретически, а вот магистралы и IX'ы - могут, внезапно, обнаружить, что при их масштабах "мелкая проблема" требует памяти больше, чем физически можно засунуть вообще в любой существующий ящик.
    Да и насчет вычислительных ресурсов неочевидно.

     
  • 1.22, Аноним, 22:16, 02/10/2017 [ответить] [смотреть все]  
  • +/
    Херня полная Если раньше full view был 300k маршрутов, то теперь 650k Даже ес... весь текст скрыт [показать]
     
     
  • 2.34, пох, 17:42, 03/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > P.S. как сделать так, что б сообщение не удалилось?..

    щательнее фильтровать базар - тут очень следят за соблюдением приличий, разрешено обсирать только оракла, мелкософт и проклятых проприетарастов.

     
  • 1.23, Аноним, 22:19, 02/10/2017 [ответить] [смотреть все]  
  • –1 +/
    Ну и кто у нас будет тут продавать воздух в качестве CA?
     
  • 1.30, Атоним, 10:15, 03/10/2017 [ответить] [смотреть все]  
  • +/
    Наверное спец службы в этом тоже не заинтересованны. Вот будут подписаны все маршрутами чем-то вроде цифровых подписей. Все будут знать что и куда пошло/пришло. И никто не останется незамеченным.  
     
  • 1.36, Vladimir Goncharov, 21:11, 03/10/2017 [ответить] [смотреть все]  
  • +/
    Сейчас примерно прикинул объес ОЗУ необходимый для хранения full view с подписям... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor