telecom №74. Безопасность BGP

СДСМ АДСМ Книги

telecom №74. Безопасность BGP

25 апреля 2019, 10:51

13229

Долго и обстоятельно про как всеобщее доверие в BGP обернулось бедой и что с этим можно делать. А главное, хочет ли кто-то что-то с этим делать.
Кто: Сергей Колобов. Системный инженер крупного вендора.
Про что: Опасности BGP, RPKI, DISCO.

Скачать файл подкаста

Полезные ссылки

RPKI Documentation — rpki.readthedocs.io/en/latest/index.html
NIST Special Publication — nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-189-draft.pdf
DISCO — www.researchgate.net/publication/328896238_Perfect_is_the_Enemy_of_Good_Setting_Realistic_Goals_for_BGP_Security
An Infrastructure to Support Secure Internet Routing — tools.ietf.org/html/rfc6480
NANOG74 Security Track — pc.nanog.org/static/published/meetings/NANOG74/1760/20181003_Tzvetanov_Security_Track_Bgp_v1.pdf
BGP Prefix Origin Validation — tools.ietf.org/html/rfc6811
The Resource Public Key Infrastructure (RPKI) to Router Protocol — tools.ietf.org/html/rfc6810
Signaling Prefix Origin Validation Results from a Route Server to Peers — tools.ietf.org/html/draft-ietf-sidrops-route-server-rpki-light-02
BGP Prefix Origin Validation State Extended Community — tools.ietf.org/html/rfc8097
RPKI — The required cryptographic upgrade to BGP routing — blog.cloudflare.com/rpki/
Bamboozling Certificate Authorities with BGP — www.usenix.org/conference/usenixsecurity18/presentation/birge-lee
Mutually Agreed Norms for Routing Security (MANRS) Implementation Guide — www.manrs.org/wp-content/uploads/2018/03/MANRS-BCOP-20170125.pdf
Will the SIDR model succeed where the IRR model failed? (Part I) — blog.apnic.net/2015/06/01/will-the-sidr-model-succeed-where-the-irr-model-failed-part-i/
BGPsec and Reality — rule11.tech/bgpsec-and-reality/
How Secure are Secure Interdomain Routing Protocols? — www.cs.yale.edu/homes/schapira/BGPAttack.pdf
Verification of AS_PATH Using the Resource Certificate Public Key Infrastructure and Autonomous System Provider Authorization — datatracker.ietf.org/doc/draft-azimov-sidrops-aspa-verification/

Добавить RSS в подкаст-плеер.

Подкаст доступен в iTunes.

Скачать все выпуски подкаста вы можете с яндекс-диска.

13229

6 коментариев

James Bolivar
Войдите, чтобы ответить

В подкасте говорилось, что будут выложены ссылки на BGP документы + best practices.
Можно ли их всё таки получить?

19 мая 2019, 11:19
Андрей
Войдите, чтобы ответить

Тема от меня далёкая, но было интересно. Спасибо!

28 апреля 2019, 19:37
MihailBorovinskih
Войдите, чтобы ответить

Бардак в сетях! Как сети до такого дошли и не поломались?
Если упростить картину до бытовой, то получается, что всем, в том числе и обезьянам дали по рулю и пытаются все как-то рулить, чтобы машина куда-то ехала…
Но это же идиотизм!

27 апреля 2019, 18:34
eucariot
Войдите, чтобы ответить

Ответ от Сергея:
Есть такое
RPKI Documentation — rpki.readthedocs.io/en/latest/index.html
NIST Special Publication — nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-189-draft.pdf
DISCO — http://www.researchgate.net/publication/328896238_Perfect_is_the_Enemy_of_Good_Setting_Realistic_Goals_for_BGP_Security
An Infrastructure to Support Secure Internet Routing — tools.ietf.org/html/rfc6480
NANOG74 Security Track — pc.nanog.org/static/published/meetings/NANOG74/1760/20181003_Tzvetanov_Security_Track_Bgp_v1.pdf
BGP Prefix Origin Validation — tools.ietf.org/html/rfc6811
The Resource Public Key Infrastructure (RPKI) to Router Protocol — tools.ietf.org/html/rfc6810
Signaling Prefix Origin Validation Results from a Route Server to Peers — tools.ietf.org/html/draft-ietf-sidrops-route-server-rpki-light-02
BGP Prefix Origin Validation State Extended Community — tools.ietf.org/html/rfc8097
RPKI — The required cryptographic upgrade to BGP routing — blog.cloudflare.com/rpki/
Bamboozling Certificate Authorities with BGP — http://www.usenix.org/conference/usenixsecurity18/presentation/birge-lee
Mutually Agreed Norms for Routing Security (MANRS) Implementation Guide — http://www.manrs.org/wp-content/uploads/2018/03/MANRS-BCOP-20170125.pdf
Will the SIDR model succeed where the IRR model failed? (Part I) — blog.apnic.net/2015/06/01/will-the-sidr-model-succeed-where-the-irr-model-failed-part-i/
BGPsec and Reality — rule11.tech/bgpsec-and-reality/
How Secure are Secure Interdomain Routing Protocols? — http://www.cs.yale.edu/homes/schapira/BGPAttack.pdf
Verification of AS_PATH Using the Resource Certificate Public Key Infrastructure and Autonomous System Provider Authorization — datatracker.ietf.org/doc/draft-azimov-sidrops-aspa-verification/

19 мая 2019, 18:42
eucariot
Войдите, чтобы ответить

Ну как бардак. Каждый администратор содержит свою AS в соответствии со своими принципами и экспертизой.
Ну и упрощать картину нельзя. В годы появления BGP ещё мало думали о безопасности глобальных сетей.
Хотя вообще-то тренды Интернета к 94-му году, конечно, были очевидны.

29 апреля 2019, 10:00
eucariot
Войдите, чтобы ответить

Глобальные проблемы BGP, как показывает история, не могут быть далеки от кого-либо)

29 апреля 2019, 09:52

Чтобы оставить комментарий, зайдите через:

Ещё выпуски

LTE №19. Памятник эпохи

Давим на ностальгию, ибо, так уж получилось, что этот выпуск записывался буквально за неделю до того, как мир изменился навсегда. Мы долго думали, ...

2532

14 марта 2022

LTE №34. NetBox: опыт K2 Cloud

В этом выпуске мы обсудили реальный кейс: как команда K2Cloud внедряла NetBox — инструмент для учёта IP-адресов, оборудования и всей сетевой инфраструктуры. Своим ...

951

11 апреля 2025

telecom №71. Mellanox Technologies

В начале 2019-го мы пополнили список вендоров, побывавших у нас в гостях. Теперь ребята, которые сами разрабатывают чипы, сами делают коммутаторы, сами пишут ...

9264

25 января 2019

По'уехавшие №23. Жена декабриста. Тамара Гавриченкова и Настя ...

Этот выпуск По'уехавших дай послушать своей жене/мужу, ибо он не для тебя, а для твоей второй половинки. Здесь будет не про успешно уехавшего ...

4047

27 сентября 2020

00:00 00:00

1x 1.2x 1.5x 2x

До нас дошло S04E01. Больше, чем ... Шоты №42. Инновации в создании ЦОДов. ... telecom №152. Микросегментация Шоты №41. Что надо учесть в ... Шоты №40. Визуализация мониторинга, но не ... Шоты №39. Будущее отечественных NGFW в ... Шоты №38. Что делать, если все ...