Истина где-то ниже
Сентябрь 11, 2018

Проект защиты протокола BGP выложен для обсуждения

Очень плохоПлохоСреднеХорошоОчень хорошо (Еще нет голосов, оставьте первым)
Загрузка...

Национальный центр кибербезопасности (National Cybersecurity Center of Excellence, NCCoE) США опубликовал черновой вариант нового стандарта защиты динамического протокола маршрутизации BGP. Документ призван усилить надежность передачи межсетевого трафика в Интернете и является ответом на многочисленные атаки с использованием уязвимостей в этом механизме транспортировки пакетов данных. Проект предложен для обсуждения ИБ-сообществу и доступен для предложений и правок до 15 октября.

BGP является одним из ключевых стандартов передачи данных в Интернете. Он используется для обмена информацией о доступности автономных сегментов сети и маршрутизации трафика между ними. Технология была разработана еще в 80-х, а последняя ревизия протокола относится к 1994 году.

С тех пор злоумышленники не раз использовали недостаточную защищенность устаревшего стандарта в кибератаках. В июле этого года ряд ISP-провайдеров приняли решение заблокировать передачу данных португальского хостинга Bitcanal, замеченного в перенаправлении спам-трафика. Для того чтобы обойти службы фильтрации почтовых систем, преступники подменяли IP-адреса отправителей через взлом BGP. Владельцы уличенной в мошенничестве организации переложили вину на нескольких недобросовестных клиентов.

В августе стало известно о попытках перехвата финансового трафика трех американских процессинговых центров. Через компрометацию BGP злоумышленники формировали фальшивые DNS-запросы и перенаправляли данные на сервер, расположенный в Восточной Украине. Как полагают специалисты, целью киберпреступников были данные банковских карт клиентов компаний Vantiv, Datawire и Mercury Payment.

Работа над новыми стандартами защиты BGP началась в октябре 2017 года, когда Национальный институт стандартов и технологий (NIST) и Министерство внутренней безопасности США объявили о совместном проекте под названием «Безопасная междоменная маршрутизация» (SIDR). Своей целью организации называли разработку криптографических протоколов для обеспечения передачи данных между сетями по защищенному каналу.

Специалисты выделили три метода, используюемых для создания безопасного BGP-соединения и защиты от DNS-хайджекинга:

  • Resource Public Key Infrastructure (RPKI)— позволяет провайдеру объявлять пул адресов, которым разрешено прямое подключение к его сегменту сети.
  • BGP Origin Validation— на основании данных RPKI выполняет фильтрацию BGP-объявлений и отсекает несанкционированную переадресацию, применяемую злоумышленниками для компрометации трафика.
  • BGP Path Validation (BGPsec)— регулирует процесс создания цифровых подписей в межсетевом пространстве.

Опубликованный накануне проект касается лишь BGP Origin Validation. Документы для обсуждения стандартов BGP RPKI и BGPsec ранее были выложены на сайте Инженерного совета Интернета (IETF) (соответственно RFC 8210 и RFC 8206).

Источник: https://threatpost.ru/bgp-protection-project-published-for-discussion/28154/