Zaloguj się do usług
bezpieczeństwa
17 listopada 2022
RPKI - nie ukradną nam prefiksów

Koniec manipulacji trasami BGP! Już za niecałe trzy tygodnie, 5 grudnia, w sieci Orange Polska wdrożymy walidację i filtrowanie RPKI. Uniemożliwi to podszycie się pod nasz prefiks, próby przejmowania w ten sposób naszego ruchu sieciowego i w efekcie utratą danych wrażliwych lub nawet odcięcia części infrastruktury od globalnej sieci.

Czym jest BGP Hijacking?

Każdy operator, który rozgłasza swoje prefiksy, powinien zgłosić je do regionalnego rejestratora (w Europie rolę tę pełni RIPE NCC). Rejestrator tworzy bazę danych przypisanych do konkretnych właścicieli adresów IP oraz ASN. Pomaga to uporządkować ruch w globalnej sieci.

Zgłaszając swoje prefiksy do RIPE de facto je zastrzegamy, przekazując informację "internetowi", że jesteśmy ich właścicielami tych adresów. W efekcie ruch przekazywanych jest do odpowiednich elementów infrastruktury sieciowej. Odpowiada za to protokół BGP. Zastrzeżenie własnych adresów IP jest istotne m.in. ze względu na tak zwany BGP Hijacking. Polega on na podszyciu się pod nasz prefiks i przekierowaniu ruchu kierowanego do nas - do obcej sieci. BGP Hijacking to atak trudne do wykrycia, bowiem często, gdy ruch wychodzący przebiega prawidłowo, dopiero ruch powrotny przechodzi przez serwery szpiegujące.

BGP buduje i utrzymuje internetową tablicę routingu, jednak sam nie jest w stanie zweryfikować informacji o routingu. Dlatego możliwe jest podszycie się pod posiadacza danego prefiksu.

Na ratunek - RPKI!

Z pomocą przychodzi RPKI (Resource Public Key Infrastructure), technologia, wykorzystująca kryptografię asymetryczną i architekturę klucza publicznego. A po polsku? Chodzi o zapewnienie, przy użyciu szyfrowania, poprawnej walidacji tras BGP, ogłaszanych przez sieci tworzące internet. RPKI analizuje bazy danych regionalnych rejestrów internetowych, które zawierają takie informacje jak ASN i adres IP. Na ich podstawie może określić, który system autonomiczny (AS) jest upoważniony do tworzenia określonego prefiksu BGP. Architektura RPKI pozwala wymieniać informacje z routerami i porównywać czy otrzymane ogłoszenie prefiksu BGP pochodzi z sieci/routera prawowitego właściciela. W przypadku gdy walidacja zakończy się negatywnie, router odrzuci prefiks BGP.

Walidację i filtrowanie RPKI na każdej sesji peeringowej BGP z sieciami AS5617 (TPNET), AS29535 (Internet.optimum) oraz AS21395 (Content Premium) aktywujemy piątego grudnia 2022. Dla zwykłego użytkownika nic się nie zmieni. Jeśli jednak jesteś administratorem sieci - zalecamy sprawdzenie poprawności ustawień swojej sieci, szczególnie w zakresie spójności już dokonanych podpisów RPKI z informacjami rozgłaszanymi w protokole BGP. Odrzucenie przez naszą sieć niepoprawnie podpisanego prefiksu może zmienić przepływ ruchu na Twoich łączach. W skrajnych przypadkach, niepoprawna konfiguracja może spowodować zablokowanie dostępu do sieci.

MANRS

RPKI jest częścią globalnej inicjatywy Mutually Agreed Norms for Routing Security (MANRS), której celem jest:

• Poprawienie bezpieczeństwa i odporności globalnego systemu routingu w internecie.
• Zmniejszenie ryzyka przypadkowych incydentów routingu BGP (przecieki tras)
• Zapobieganiu złośliwemu przechwyceniu zasobów IP

Grafika użyta w tekście została stworzona przez sztuczną inteligencję w ramach projektu Dall-E (https://labs.openai.com/)

 


Masz ciekawą informację?

Poinformuj nas!

Zgłoś incydent

Załącz plik

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Nie jestem człowiekiem
Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl