telecom №74. Безопасность BGP

СДСМ АДСМ Книги

telecom №74. Безопасность BGP

25 апреля 2019, 10:51

13237

Долго и обстоятельно про как всеобщее доверие в BGP обернулось бедой и что с этим можно делать. А главное, хочет ли кто-то что-то с этим делать.
Кто: Сергей Колобов. Системный инженер крупного вендора.
Про что: Опасности BGP, RPKI, DISCO.

Скачать файл подкаста

Полезные ссылки

RPKI Documentation — rpki.readthedocs.io/en/latest/index.html
NIST Special Publication — nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-189-draft.pdf
DISCO — www.researchgate.net/publication/328896238_Perfect_is_the_Enemy_of_Good_Setting_Realistic_Goals_for_BGP_Security
An Infrastructure to Support Secure Internet Routing — tools.ietf.org/html/rfc6480
NANOG74 Security Track — pc.nanog.org/static/published/meetings/NANOG74/1760/20181003_Tzvetanov_Security_Track_Bgp_v1.pdf
BGP Prefix Origin Validation — tools.ietf.org/html/rfc6811
The Resource Public Key Infrastructure (RPKI) to Router Protocol — tools.ietf.org/html/rfc6810
Signaling Prefix Origin Validation Results from a Route Server to Peers — tools.ietf.org/html/draft-ietf-sidrops-route-server-rpki-light-02
BGP Prefix Origin Validation State Extended Community — tools.ietf.org/html/rfc8097
RPKI — The required cryptographic upgrade to BGP routing — blog.cloudflare.com/rpki/
Bamboozling Certificate Authorities with BGP — www.usenix.org/conference/usenixsecurity18/presentation/birge-lee
Mutually Agreed Norms for Routing Security (MANRS) Implementation Guide — www.manrs.org/wp-content/uploads/2018/03/MANRS-BCOP-20170125.pdf
Will the SIDR model succeed where the IRR model failed? (Part I) — blog.apnic.net/2015/06/01/will-the-sidr-model-succeed-where-the-irr-model-failed-part-i/
BGPsec and Reality — rule11.tech/bgpsec-and-reality/
How Secure are Secure Interdomain Routing Protocols? — www.cs.yale.edu/homes/schapira/BGPAttack.pdf
Verification of AS_PATH Using the Resource Certificate Public Key Infrastructure and Autonomous System Provider Authorization — datatracker.ietf.org/doc/draft-azimov-sidrops-aspa-verification/

Добавить RSS в подкаст-плеер.

Подкаст доступен в iTunes.

Скачать все выпуски подкаста вы можете с яндекс-диска.

13237

6 коментариев

James Bolivar
Войдите, чтобы ответить

В подкасте говорилось, что будут выложены ссылки на BGP документы + best practices.
Можно ли их всё таки получить?

19 мая 2019, 11:19
Андрей
Войдите, чтобы ответить

Тема от меня далёкая, но было интересно. Спасибо!

28 апреля 2019, 19:37
MihailBorovinskih
Войдите, чтобы ответить

Бардак в сетях! Как сети до такого дошли и не поломались?
Если упростить картину до бытовой, то получается, что всем, в том числе и обезьянам дали по рулю и пытаются все как-то рулить, чтобы машина куда-то ехала…
Но это же идиотизм!

27 апреля 2019, 18:34
eucariot
Войдите, чтобы ответить

Ответ от Сергея:
Есть такое
RPKI Documentation — rpki.readthedocs.io/en/latest/index.html
NIST Special Publication — nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-189-draft.pdf
DISCO — http://www.researchgate.net/publication/328896238_Perfect_is_the_Enemy_of_Good_Setting_Realistic_Goals_for_BGP_Security
An Infrastructure to Support Secure Internet Routing — tools.ietf.org/html/rfc6480
NANOG74 Security Track — pc.nanog.org/static/published/meetings/NANOG74/1760/20181003_Tzvetanov_Security_Track_Bgp_v1.pdf
BGP Prefix Origin Validation — tools.ietf.org/html/rfc6811
The Resource Public Key Infrastructure (RPKI) to Router Protocol — tools.ietf.org/html/rfc6810
Signaling Prefix Origin Validation Results from a Route Server to Peers — tools.ietf.org/html/draft-ietf-sidrops-route-server-rpki-light-02
BGP Prefix Origin Validation State Extended Community — tools.ietf.org/html/rfc8097
RPKI — The required cryptographic upgrade to BGP routing — blog.cloudflare.com/rpki/
Bamboozling Certificate Authorities with BGP — http://www.usenix.org/conference/usenixsecurity18/presentation/birge-lee
Mutually Agreed Norms for Routing Security (MANRS) Implementation Guide — http://www.manrs.org/wp-content/uploads/2018/03/MANRS-BCOP-20170125.pdf
Will the SIDR model succeed where the IRR model failed? (Part I) — blog.apnic.net/2015/06/01/will-the-sidr-model-succeed-where-the-irr-model-failed-part-i/
BGPsec and Reality — rule11.tech/bgpsec-and-reality/
How Secure are Secure Interdomain Routing Protocols? — http://www.cs.yale.edu/homes/schapira/BGPAttack.pdf
Verification of AS_PATH Using the Resource Certificate Public Key Infrastructure and Autonomous System Provider Authorization — datatracker.ietf.org/doc/draft-azimov-sidrops-aspa-verification/

19 мая 2019, 18:42
eucariot
Войдите, чтобы ответить

Ну как бардак. Каждый администратор содержит свою AS в соответствии со своими принципами и экспертизой.
Ну и упрощать картину нельзя. В годы появления BGP ещё мало думали о безопасности глобальных сетей.
Хотя вообще-то тренды Интернета к 94-му году, конечно, были очевидны.

29 апреля 2019, 10:00
eucariot
Войдите, чтобы ответить

Глобальные проблемы BGP, как показывает история, не могут быть далеки от кого-либо)

29 апреля 2019, 09:52

Чтобы оставить комментарий, зайдите через:

Ещё выпуски

linkmeup ⑪

Сейчас с каждого блогерского крана начнут подводить всевозможные итоги года, так что кто ещё не закупился мандаринками, надо бы уже поторопиться. А мы, ...

1923

22 декабря 2022

telecom № 111. Телевидение

Итак, этот выпуск случился, несмотря на все незвгоды! В 111-м выпуске говорим про телевидение в широком смысле этого слова со smotreshka.tv и Яндексом. ...

2564

25 мая 2022

telecom №132. DWDM. Часть 1. История и принципы

Читал как-то я (eucariot) Олиферов, и дошёл до главы, где разбираются технологии оптической связи. И тут неожиданно стало сложно и тревожно от того, ...

3548

25 февраля 2024

telecom №85. Broadcom. WiFi6

Ещё один разговор про WiFi, на этот раз шестого поколения — 802.11ax. Мы настолько много напланировали засунуть в один выпуск про WiFi, что ...

5663

25 марта 2020

00:00 00:00