telecom №74. Безопасность BGP

СДСМ АДСМ Книги

telecom №74. Безопасность BGP

25 апреля 2019, 10:51

13277

Долго и обстоятельно про как всеобщее доверие в BGP обернулось бедой и что с этим можно делать. А главное, хочет ли кто-то что-то с этим делать.
Кто: Сергей Колобов. Системный инженер крупного вендора.
Про что: Опасности BGP, RPKI, DISCO.

Скачать файл подкаста

Полезные ссылки

RPKI Documentation — rpki.readthedocs.io/en/latest/index.html
NIST Special Publication — nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-189-draft.pdf
DISCO — www.researchgate.net/publication/328896238_Perfect_is_the_Enemy_of_Good_Setting_Realistic_Goals_for_BGP_Security
An Infrastructure to Support Secure Internet Routing — tools.ietf.org/html/rfc6480
NANOG74 Security Track — pc.nanog.org/static/published/meetings/NANOG74/1760/20181003_Tzvetanov_Security_Track_Bgp_v1.pdf
BGP Prefix Origin Validation — tools.ietf.org/html/rfc6811
The Resource Public Key Infrastructure (RPKI) to Router Protocol — tools.ietf.org/html/rfc6810
Signaling Prefix Origin Validation Results from a Route Server to Peers — tools.ietf.org/html/draft-ietf-sidrops-route-server-rpki-light-02
BGP Prefix Origin Validation State Extended Community — tools.ietf.org/html/rfc8097
RPKI — The required cryptographic upgrade to BGP routing — blog.cloudflare.com/rpki/
Bamboozling Certificate Authorities with BGP — www.usenix.org/conference/usenixsecurity18/presentation/birge-lee
Mutually Agreed Norms for Routing Security (MANRS) Implementation Guide — www.manrs.org/wp-content/uploads/2018/03/MANRS-BCOP-20170125.pdf
Will the SIDR model succeed where the IRR model failed? (Part I) — blog.apnic.net/2015/06/01/will-the-sidr-model-succeed-where-the-irr-model-failed-part-i/
BGPsec and Reality — rule11.tech/bgpsec-and-reality/
How Secure are Secure Interdomain Routing Protocols? — www.cs.yale.edu/homes/schapira/BGPAttack.pdf
Verification of AS_PATH Using the Resource Certificate Public Key Infrastructure and Autonomous System Provider Authorization — datatracker.ietf.org/doc/draft-azimov-sidrops-aspa-verification/

Добавить RSS в подкаст-плеер.

Подкаст доступен в iTunes.

Скачать все выпуски подкаста вы можете с яндекс-диска.

13277

6 коментариев

James Bolivar
Войдите, чтобы ответить

В подкасте говорилось, что будут выложены ссылки на BGP документы + best practices.
Можно ли их всё таки получить?

19 мая 2019, 11:19
Андрей
Войдите, чтобы ответить

Тема от меня далёкая, но было интересно. Спасибо!

28 апреля 2019, 19:37
MihailBorovinskih
Войдите, чтобы ответить

Бардак в сетях! Как сети до такого дошли и не поломались?
Если упростить картину до бытовой, то получается, что всем, в том числе и обезьянам дали по рулю и пытаются все как-то рулить, чтобы машина куда-то ехала…
Но это же идиотизм!

27 апреля 2019, 18:34
eucariot
Войдите, чтобы ответить

Ответ от Сергея:
Есть такое
RPKI Documentation — rpki.readthedocs.io/en/latest/index.html
NIST Special Publication — nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-189-draft.pdf
DISCO — http://www.researchgate.net/publication/328896238_Perfect_is_the_Enemy_of_Good_Setting_Realistic_Goals_for_BGP_Security
An Infrastructure to Support Secure Internet Routing — tools.ietf.org/html/rfc6480
NANOG74 Security Track — pc.nanog.org/static/published/meetings/NANOG74/1760/20181003_Tzvetanov_Security_Track_Bgp_v1.pdf
BGP Prefix Origin Validation — tools.ietf.org/html/rfc6811
The Resource Public Key Infrastructure (RPKI) to Router Protocol — tools.ietf.org/html/rfc6810
Signaling Prefix Origin Validation Results from a Route Server to Peers — tools.ietf.org/html/draft-ietf-sidrops-route-server-rpki-light-02
BGP Prefix Origin Validation State Extended Community — tools.ietf.org/html/rfc8097
RPKI — The required cryptographic upgrade to BGP routing — blog.cloudflare.com/rpki/
Bamboozling Certificate Authorities with BGP — http://www.usenix.org/conference/usenixsecurity18/presentation/birge-lee
Mutually Agreed Norms for Routing Security (MANRS) Implementation Guide — http://www.manrs.org/wp-content/uploads/2018/03/MANRS-BCOP-20170125.pdf
Will the SIDR model succeed where the IRR model failed? (Part I) — blog.apnic.net/2015/06/01/will-the-sidr-model-succeed-where-the-irr-model-failed-part-i/
BGPsec and Reality — rule11.tech/bgpsec-and-reality/
How Secure are Secure Interdomain Routing Protocols? — http://www.cs.yale.edu/homes/schapira/BGPAttack.pdf
Verification of AS_PATH Using the Resource Certificate Public Key Infrastructure and Autonomous System Provider Authorization — datatracker.ietf.org/doc/draft-azimov-sidrops-aspa-verification/

19 мая 2019, 18:42
eucariot
Войдите, чтобы ответить

Ну как бардак. Каждый администратор содержит свою AS в соответствии со своими принципами и экспертизой.
Ну и упрощать картину нельзя. В годы появления BGP ещё мало думали о безопасности глобальных сетей.
Хотя вообще-то тренды Интернета к 94-му году, конечно, были очевидны.

29 апреля 2019, 10:00
eucariot
Войдите, чтобы ответить

Глобальные проблемы BGP, как показывает история, не могут быть далеки от кого-либо)

29 апреля 2019, 09:52

Чтобы оставить комментарий, зайдите через:

Ещё выпуски

LTE №25. Yandex Infrastructure

В прдверии Линкмитапа, где одним из гостей будет Антон Кортунов с докладом про приколы I2C-шины, а Яндекс является золотым спонсором и будет стоять ...

2313

6 октября 2023

telecom №25. Виртуализация и SDN, часть вторая

В 25 выпуске мы продолжаем тему виртуализации, и в этот раз сосредоточимся на виртуализации сетей, поговорим о SDN, как это работает, что для ...

13722

25 марта 2015

telecom №131. Flow-протоколы

Ещё одна тема, которой нам удавалось избежать 11 лет. Как-то всё вскользь да вскользь. Всё разнообразие протоколов флоу-сэмплинга. Какие есть, как выбрать, кому ...

2308

25 января 2024

telecom №11. Cisco TAC, CEF, FIB

Первый год жизни подкаста мы завершаем на крайне позитивной ноте — в гостях у нас Дмитрий Jdima и инженер Cisco TAC — Анатолий ...

34847

25 января 2014

00:00 00:00