NIST предложил меры для защиты BGP

Discussion in 'Мировые новости. Обсуждения.' started by Suicide, 19 Dec 2018.

  1. Suicide

    Suicide Super Moderator
    Staff Member

    Joined:
    24 Apr 2009
    Messages:
    2,534
    Likes Received:
    3,265
    Reputations:
    693
    Национальный институт стандартов и технологий США (National Institute of Standards and Technology, NIST) представил проект обновленного стандарта защиты BGP-трафика (Border Gateway Protocol, протокол граничного шлюза). Предложенные меры призваны упростить борьбу с DDoS-атаками и спамом, перехватом конфиденциальной информации и прочими манипуляциями с потоками данных в Интернете.

    Основы регулирования BGP-трафика были заложены на заре Интернета и к настоящему моменту перестали отвечать реалиям онлайн-пространства. Существующие механизмы во многом основаны на доверительных отношениях между интернет-провайдерами. В отсутствие автоматизированных средств защиты преступникам нередко удается вмешиваться в работу легитимных систем, присваивать блоки IP-адресов и использовать их в мошеннических целях.

    Среди самых громких злоупотреблений в этой области эксперты называют историю португальского интернет-провайдера Bitcanal. Компания на протяжении нескольких лет сотрудничала с
    киберпреступниками, помогая им проводить спам-рассылки. Остановить мошенников удалось только совместными усилиями крупных провайдеров нескольких европейских стран.

    Уязвимости BGP делают возможными и случайные инциденты с трафиком. Так, в ноябре ошибка нигерийского провайдера привела к проблемам с доступом к нескольким сервисам Google. В результате неверно заявленной маршрутизации данные американской корпорации отправились в Китай, где их заблокировал «Золотой щит».

    По словам авторов документа, предложенные меры смогут повысить безопасность в Интернете, защитив компании и частных пользователей как от случайных, так и от намеренных злоупотреблений. Фактически участники онлайн-пространства уже используют значительную часть описанных в проекте технологий. Эксперты указывают на необходимость закрепить их в форме стандарта, чтобы распространить полезные практики на весь Интернет.

    Указанные в проекте технологии включают использование открытых ключей (Resource Public Key Infrastructure, RPKI) для валидации объектов интернет-трафика, проверку источника BGP (BGP-origin) и еще десятки технологий. Эксперты описывают гибкую архитектуру, которая обеспечит интернет-провайдерам уверенность в легитимности проходящих через них данных.

    Значительная часть предложенных технологий направлена на противодействие DDoS-атакам. Организаторы вредоносных кампаний нередко перехватывают BGP-трафик, чтобы скрыть нежелательную активность от защитных систем. Внедрение автоматической фильтрации по блокам префиксов (prefix filtering) позволит быстро отсекать подозрительный трафик.

    По такому же принципу построена фильтрация IP-адресов, которая поможет определять в потоке данных нежелательные запросы. Провайдерам предлагается отсеивать пакеты, поступающие с еще не присвоенных IPv6-префиксов — рынок перешел на эту версию протокола только в 2017 году, поэтому поставщикам услуг несложно отслеживать, какие адреса уже выданы легитимным хостам, а какие неправомерно захвачены.

    Авторы подчеркивают, что новые технологии не обеспечат абсолютную защиту от атак. Злоумышленники могут вмешаться в работу RPKI, которая подтверждает легитимность выданных провайдерам доверенных сертификатов. Такая атака теоретически позволяет им выдавать под управление и присваивать диапазоны IP-адресов.

    В этом случае нежелательная активность может продолжаться сколь угодно долго, пока другие участники не дойдут по цепочке от обнаруженной подмены до RPKI. По словам экспертов, безопасность этой системы лежит за пределами предложенного стандарта. Это касается и TCP — еще одного протокола, который лежит в самой основе Интернета.

    ИБ-специалисты и интернет-провайдеры уже сейчас могут внедрить эти технологии, чтобы повысить безопасность региональных сетей и корпоративных инфраструктур. Эксперты также рассчитывают на внимание производителей коммуникационного оборудования, которые смогут заложить необходимые технологические ограничения на аппаратном уровне.

    В сентябре Национальный центр кибербезопасности представил для общественного обсуждения собственный проект защиты BGP. Стандарт включает многие технологии, которые позже вошли в документ NIST.

     
    seostock and Spinus like this.
Loading...