telecom №74. Безопасность BGP

СДСМ АДСМ Книги

telecom №74. Безопасность BGP

25 апреля 2019, 10:51

13243

Долго и обстоятельно про как всеобщее доверие в BGP обернулось бедой и что с этим можно делать. А главное, хочет ли кто-то что-то с этим делать.
Кто: Сергей Колобов. Системный инженер крупного вендора.
Про что: Опасности BGP, RPKI, DISCO.

Скачать файл подкаста

Полезные ссылки

RPKI Documentation — rpki.readthedocs.io/en/latest/index.html
NIST Special Publication — nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-189-draft.pdf
DISCO — www.researchgate.net/publication/328896238_Perfect_is_the_Enemy_of_Good_Setting_Realistic_Goals_for_BGP_Security
An Infrastructure to Support Secure Internet Routing — tools.ietf.org/html/rfc6480
NANOG74 Security Track — pc.nanog.org/static/published/meetings/NANOG74/1760/20181003_Tzvetanov_Security_Track_Bgp_v1.pdf
BGP Prefix Origin Validation — tools.ietf.org/html/rfc6811
The Resource Public Key Infrastructure (RPKI) to Router Protocol — tools.ietf.org/html/rfc6810
Signaling Prefix Origin Validation Results from a Route Server to Peers — tools.ietf.org/html/draft-ietf-sidrops-route-server-rpki-light-02
BGP Prefix Origin Validation State Extended Community — tools.ietf.org/html/rfc8097
RPKI — The required cryptographic upgrade to BGP routing — blog.cloudflare.com/rpki/
Bamboozling Certificate Authorities with BGP — www.usenix.org/conference/usenixsecurity18/presentation/birge-lee
Mutually Agreed Norms for Routing Security (MANRS) Implementation Guide — www.manrs.org/wp-content/uploads/2018/03/MANRS-BCOP-20170125.pdf
Will the SIDR model succeed where the IRR model failed? (Part I) — blog.apnic.net/2015/06/01/will-the-sidr-model-succeed-where-the-irr-model-failed-part-i/
BGPsec and Reality — rule11.tech/bgpsec-and-reality/
How Secure are Secure Interdomain Routing Protocols? — www.cs.yale.edu/homes/schapira/BGPAttack.pdf
Verification of AS_PATH Using the Resource Certificate Public Key Infrastructure and Autonomous System Provider Authorization — datatracker.ietf.org/doc/draft-azimov-sidrops-aspa-verification/

Добавить RSS в подкаст-плеер.

Подкаст доступен в iTunes.

Скачать все выпуски подкаста вы можете с яндекс-диска.

13243

6 коментариев

James Bolivar
Войдите, чтобы ответить

В подкасте говорилось, что будут выложены ссылки на BGP документы + best practices.
Можно ли их всё таки получить?

19 мая 2019, 11:19
Андрей
Войдите, чтобы ответить

Тема от меня далёкая, но было интересно. Спасибо!

28 апреля 2019, 19:37
MihailBorovinskih
Войдите, чтобы ответить

Бардак в сетях! Как сети до такого дошли и не поломались?
Если упростить картину до бытовой, то получается, что всем, в том числе и обезьянам дали по рулю и пытаются все как-то рулить, чтобы машина куда-то ехала…
Но это же идиотизм!

27 апреля 2019, 18:34
eucariot
Войдите, чтобы ответить

Ответ от Сергея:
Есть такое
RPKI Documentation — rpki.readthedocs.io/en/latest/index.html
NIST Special Publication — nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-189-draft.pdf
DISCO — http://www.researchgate.net/publication/328896238_Perfect_is_the_Enemy_of_Good_Setting_Realistic_Goals_for_BGP_Security
An Infrastructure to Support Secure Internet Routing — tools.ietf.org/html/rfc6480
NANOG74 Security Track — pc.nanog.org/static/published/meetings/NANOG74/1760/20181003_Tzvetanov_Security_Track_Bgp_v1.pdf
BGP Prefix Origin Validation — tools.ietf.org/html/rfc6811
The Resource Public Key Infrastructure (RPKI) to Router Protocol — tools.ietf.org/html/rfc6810
Signaling Prefix Origin Validation Results from a Route Server to Peers — tools.ietf.org/html/draft-ietf-sidrops-route-server-rpki-light-02
BGP Prefix Origin Validation State Extended Community — tools.ietf.org/html/rfc8097
RPKI — The required cryptographic upgrade to BGP routing — blog.cloudflare.com/rpki/
Bamboozling Certificate Authorities with BGP — http://www.usenix.org/conference/usenixsecurity18/presentation/birge-lee
Mutually Agreed Norms for Routing Security (MANRS) Implementation Guide — http://www.manrs.org/wp-content/uploads/2018/03/MANRS-BCOP-20170125.pdf
Will the SIDR model succeed where the IRR model failed? (Part I) — blog.apnic.net/2015/06/01/will-the-sidr-model-succeed-where-the-irr-model-failed-part-i/
BGPsec and Reality — rule11.tech/bgpsec-and-reality/
How Secure are Secure Interdomain Routing Protocols? — http://www.cs.yale.edu/homes/schapira/BGPAttack.pdf
Verification of AS_PATH Using the Resource Certificate Public Key Infrastructure and Autonomous System Provider Authorization — datatracker.ietf.org/doc/draft-azimov-sidrops-aspa-verification/

19 мая 2019, 18:42
eucariot
Войдите, чтобы ответить

Ну как бардак. Каждый администратор содержит свою AS в соответствии со своими принципами и экспертизой.
Ну и упрощать картину нельзя. В годы появления BGP ещё мало думали о безопасности глобальных сетей.
Хотя вообще-то тренды Интернета к 94-му году, конечно, были очевидны.

29 апреля 2019, 10:00
eucariot
Войдите, чтобы ответить

Глобальные проблемы BGP, как показывает история, не могут быть далеки от кого-либо)

29 апреля 2019, 09:52

Чтобы оставить комментарий, зайдите через:

Ещё выпуски

telecom №147. И снова космос

Не откладывая на парсек, продолжаем космическую тематику. Евгения Пронина, которая уже рассказывала нам про GEO, LEO, MEO, HEO, теперь и в подкасте. Кто: ...

723

25 мая 2025

LTE №1. C 5G всё не так!

После выпуска telecom №82 про 5G с Евгением Бугаковым в одной из групп в Facebook в комментарии пришёл Илья Балашов и сказал, что ...

6601

23 февраля 2020

telecom №77. IPv4 продолжают заканчиваться

Стоило только linkmeup поплакаться, что IPv4 больше нет и взять его почти неоткуда, как американский AMPR распечатал свой 44/8 и продал блок /10 ...

9566

25 июля 2019

telecom №107. Zero Trust Access

В 2009 году Google представил свою реализацию концепции ZeroTrust Security - когда нет периметра из фаерволов, нет VPN-шлюзов, (и клиентов под стопицот платформ!) ...

4190

25 января 2022

00:00 00:00

1x 1.2x 1.5x 2x

Шоты №44. Российские СУБД: кто выживет ... До нас дошло S04E02. Получите, распишитесь! Шоты №43. Безопасность по умолчанию: эволюция ... До нас дошло S04E01. Больше, чем ... Шоты №42. Инновации в создании ЦОДов. ... telecom №152. Микросегментация Шоты №41. Что надо учесть в ...