telecom №74. Безопасность BGP

СДСМ АДСМ Книги

telecom №74. Безопасность BGP

25 апреля 2019, 10:51

12927

В гостях:

Долго и обстоятельно про как всеобщее доверие в BGP обернулось бедой и что с этим можно делать. А главное, хочет ли кто-то что-то с этим делать.
Кто: Сергей Колобов. Системный инженер крупного вендора.
Про что: Опасности BGP, RPKI, DISCO.

Скачать файл подкаста

Полезные ссылки

RPKI Documentation — rpki.readthedocs.io/en/latest/index.html
NIST Special Publication — nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-189-draft.pdf
DISCO — www.researchgate.net/publication/328896238_Perfect_is_the_Enemy_of_Good_Setting_Realistic_Goals_for_BGP_Security
An Infrastructure to Support Secure Internet Routing — tools.ietf.org/html/rfc6480
NANOG74 Security Track — pc.nanog.org/static/published/meetings/NANOG74/1760/20181003_Tzvetanov_Security_Track_Bgp_v1.pdf
BGP Prefix Origin Validation — tools.ietf.org/html/rfc6811
The Resource Public Key Infrastructure (RPKI) to Router Protocol — tools.ietf.org/html/rfc6810
Signaling Prefix Origin Validation Results from a Route Server to Peers — tools.ietf.org/html/draft-ietf-sidrops-route-server-rpki-light-02
BGP Prefix Origin Validation State Extended Community — tools.ietf.org/html/rfc8097
RPKI — The required cryptographic upgrade to BGP routing — blog.cloudflare.com/rpki/
Bamboozling Certificate Authorities with BGP — www.usenix.org/conference/usenixsecurity18/presentation/birge-lee
Mutually Agreed Norms for Routing Security (MANRS) Implementation Guide — www.manrs.org/wp-content/uploads/2018/03/MANRS-BCOP-20170125.pdf
Will the SIDR model succeed where the IRR model failed? (Part I) — blog.apnic.net/2015/06/01/will-the-sidr-model-succeed-where-the-irr-model-failed-part-i/
BGPsec and Reality — rule11.tech/bgpsec-and-reality/
How Secure are Secure Interdomain Routing Protocols? — www.cs.yale.edu/homes/schapira/BGPAttack.pdf
Verification of AS_PATH Using the Resource Certificate Public Key Infrastructure and Autonomous System Provider Authorization — datatracker.ietf.org/doc/draft-azimov-sidrops-aspa-verification/

Добавить RSS в подкаст-плеер.

Подкаст доступен в iTunes.

Скачать все выпуски подкаста вы можете с яндекс-диска.

12927

6 коментариев

James Bolivar
Войдите, чтобы ответить

В подкасте говорилось, что будут выложены ссылки на BGP документы + best practices.
Можно ли их всё таки получить?

19 мая 2019, 11:19
Андрей
Войдите, чтобы ответить

Тема от меня далёкая, но было интересно. Спасибо!

28 апреля 2019, 19:37
MihailBorovinskih
Войдите, чтобы ответить

Бардак в сетях! Как сети до такого дошли и не поломались?
Если упростить картину до бытовой, то получается, что всем, в том числе и обезьянам дали по рулю и пытаются все как-то рулить, чтобы машина куда-то ехала…
Но это же идиотизм!

27 апреля 2019, 18:34
eucariot
Войдите, чтобы ответить

Ответ от Сергея:
Есть такое
RPKI Documentation — rpki.readthedocs.io/en/latest/index.html
NIST Special Publication — nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-189-draft.pdf
DISCO — http://www.researchgate.net/publication/328896238_Perfect_is_the_Enemy_of_Good_Setting_Realistic_Goals_for_BGP_Security
An Infrastructure to Support Secure Internet Routing — tools.ietf.org/html/rfc6480
NANOG74 Security Track — pc.nanog.org/static/published/meetings/NANOG74/1760/20181003_Tzvetanov_Security_Track_Bgp_v1.pdf
BGP Prefix Origin Validation — tools.ietf.org/html/rfc6811
The Resource Public Key Infrastructure (RPKI) to Router Protocol — tools.ietf.org/html/rfc6810
Signaling Prefix Origin Validation Results from a Route Server to Peers — tools.ietf.org/html/draft-ietf-sidrops-route-server-rpki-light-02
BGP Prefix Origin Validation State Extended Community — tools.ietf.org/html/rfc8097
RPKI — The required cryptographic upgrade to BGP routing — blog.cloudflare.com/rpki/
Bamboozling Certificate Authorities with BGP — http://www.usenix.org/conference/usenixsecurity18/presentation/birge-lee
Mutually Agreed Norms for Routing Security (MANRS) Implementation Guide — http://www.manrs.org/wp-content/uploads/2018/03/MANRS-BCOP-20170125.pdf
Will the SIDR model succeed where the IRR model failed? (Part I) — blog.apnic.net/2015/06/01/will-the-sidr-model-succeed-where-the-irr-model-failed-part-i/
BGPsec and Reality — rule11.tech/bgpsec-and-reality/
How Secure are Secure Interdomain Routing Protocols? — http://www.cs.yale.edu/homes/schapira/BGPAttack.pdf
Verification of AS_PATH Using the Resource Certificate Public Key Infrastructure and Autonomous System Provider Authorization — datatracker.ietf.org/doc/draft-azimov-sidrops-aspa-verification/

19 мая 2019, 18:42
eucariot
Войдите, чтобы ответить

Ну как бардак. Каждый администратор содержит свою AS в соответствии со своими принципами и экспертизой.
Ну и упрощать картину нельзя. В годы появления BGP ещё мало думали о безопасности глобальных сетей.
Хотя вообще-то тренды Интернета к 94-му году, конечно, были очевидны.

29 апреля 2019, 10:00
eucariot
Войдите, чтобы ответить

Глобальные проблемы BGP, как показывает история, не могут быть далеки от кого-либо)

29 апреля 2019, 09:52

Чтобы оставить комментарий, зайдите через:

Ещё выпуски

По'уехавшие №5. Австралия. Александр Клиппер. Amazon

Вероятно, самый предсказуемый и ожидаемый гость на по'уезжание наконец-то добрался до микрофона! • Как CCNP может иметь силу большую, чем CCIE? • Когда ...

11644

30 октября 2018

LinkMeUp. Выпуск № 32. ОАО Полигон, оборудование, программный ...

В 32-м выпуске у нас рекордное количество гостей. В эфире делегация из ОАО НПП Полигон. Денис Абсалямов — специалист по маркетингу Альфред Исламов ...

1531

24 октября 2015

telecom № 117. QUIC и все-все-все

С подачи Паши Коростелёва из выпуска 115 мы задумались про фильтрацию новомодного QUIC, маскирующегося под HTTP/3. Разыскали знающих людей и теперь готовы начать ...

3119

25 ноября 2022

telecom №122. Я придумал RFC

Вы когда-нибудь задумывались о том, как опубликовать RFC? Не первоапрельский (хотя тут тоже надо ещё постараться), а самый настоящий - с ревью комитета ...

1784

25 апреля 2023

00:00 00:00

1x 1.2x 1.5x 2x

sysadmins №56. Виртуалки в k8s До нас дошло №S01E07. Несуществовавшая почта До нас дошло S01E06. Pepsi, пейджер, ... telecom №145. Тридцать тысяч OpenVPN-ов До нас дошло S01E05. Загадочные радиостанции До нас дошло S01E04. Телеграф sysadmins №55. Инвентаризация активов и управление ...