Embed Size (px)
DESCRIPTION
Laboratorium routingu międzydomenowego Bezpieczeństwo protokołu BGP. Łukasz Dobrodziej, Jakub Maćkowiak. Kierujący pracą dyplomową: mgr inż. Mariusz Mycek. Opiekun naukowy: doc. dr inż. Michał Jarociński. Plan prezentacji. Motywacja i cel pracy Podatność BGP i klasyfikacja ataków - PowerPoint PPT Presentation
Citation preview
Opiekun naukowy: doc. dr inż. Michał Jarociński
LABORATORIUM ROUTINGU
MIĘDZYDOMENOWEGOBEZPIECZEŃSTWO PROTOKOŁU BGP
Łukasz Dobrodziej, Jakub Maćkowiak
Kierujący pracą dyplomową: mgr inż. Mariusz Mycek
PLAN PREZENTACJI
1. Motywacja i cel pracy
2. Podatność BGP i klasyfikacja ataków
3. Metody zabezpieczenia protokołu BGP
4. Koncepcja laboratorium
5. Podsumowanie
• BGP – podstawowy protokół routingu międzydomenowego
• Brak wbudowanych mechanizmów bezpieczeństwa
• Podatność na błędy konfiguracyjne i ataki
• Wpływ na stabilność i poprawność globalnego routingu międzydomenowego
• Rozbudowa wstępnej wersji infrastruktury laboratorium
MOTYWACJA
CEL PRACY
• Analiza podatności protokołu BGP na ataki
• Klasyfikacja ataków oraz metod zabezpieczeń
• Stworzenie ćwiczenia laboratoryjnego
• Rozbudowa oraz uelastycznienie istniejącej infrastruktury laboratorium
PODATNOŚĆ BGP
• Akceptowanie nieautoryzowanych prefiksów
• Akceptowanie nieautoryzowanych ścieżek / atrybutów ścieżek
• Ingerencja w kanał komunikacji wiadomości BGP
KLASYFIKACJA ATAKÓW
• Przejęcie prefiksu (ang. prefix hijacking)
• DoS / Man-in-the-middle
• Rozgłaszanie ścieżek dla nieprzydzielonych przestrzeni adresowych
• DoS (tzw. backscatter) / Spam
• Modyfikowanie tras ruchu użytkowego
• DoS (sieci) / Man-in-the-middle
ATAK PREFIX HIJACKING
150.150.0.0/16
Router z AS 1 rozgłasza posiadany prefiks: 150.150.0.0/16
ATAK PREFIX HIJACKING
150.150.0.0/16
Router z AS 5 rozgłasza konkurencyjną ścieżkę dla tego prefiksu.
Ścieżka jest ‘lepsza’ w kategorii długości AS_PATH dla AS 4 i jednakowa dla AS 3
MECHANIZMY ZWIĘKSZAJĄCE
BEZPIECZEŃSTWO PROTOKOŁU BGP
• Zabezpieczenie sesji BGP
• Uwierzytelnianie MD5 (TCP)
• BGP over IPSec
• Filtrowanie rozgłoszeń protokołu BGP – dobre praktyki
• Rejestry routingu – współdzielona, globalna informacja o prawidłowym routingu
ZINTEGROWANE SYSTEMY BEZPIECZEŃSTWA
PROTOKOŁU BGP
• Ograniczone możliwości i efektywność obecnie stosowanych mechanizmów
• Rozwiązanie – zintegrowany system bezpieczeństwa protokołu BGP oparty na rejestrach routingowych i kryptografii
• Secure-BGP (rozszerzenie BGP)
• secure origin BGP (rozszerzenie BGP)
• Interdomain Route Validation (niezależny od protokołu)
SCENARIUSZ LABORATORIUM
INFRASTRUKTURA LABORATORIUM
WIDOK PODSTAWOWY
OKNO WERYFIKACJI
PODSUMOWANIE
• Analiza podatności protokołu BGP na ataki
• Klasyfikacja ataków oraz metod zabezpieczeń (dobre praktyki)
• Stworzenie ćwiczenia laboratoryjnego
• Rozbudowa oraz uelastycznienie istniejącej infrastruktury laboratorium
• Wielokrotne przeprowadzenie ćwiczenia testowego z udziałem studentów
MOŻLIWOŚCI ROZWOJU
• Stworzenie platformy służącej do projektowania ćwiczeń laboratoryjnych
• Graficzny edytor scenariuszy
• Generator testów weryfikujących
• Utworzenie nowych ćwiczeń (inne protokoły)
• Rozbudowa o funkcje ułatwiające studentom najczęściej wykonywane operacje na routerach
BIBLIOGRAFIA
[4] Heffernan A., Protection of BGP Sessions via the TCP MD5 Signature Option, RFC 2385, sierpień 1998[5] Meyer D., Gill V., Heasley J., The Generalized TTL Security Mechanism (GTSM), RFC 3682, luty 2004[7] Rekhter Y., Li T., Hares S., A Border Gateway Protocol 4 , RFC 4271, styczeń 2006[8] Murphy S., BGP Security Vulnerabilities Analysis, RFC 4272, styczeń 2006[10] Kaeo M., Current Operational Security Practices in Internet Service Provider Environments, RFC 4778, styczeń 2007[12] Ward D., Securing BGPv4 using IPsec, draft-ward-bgp-ipsec, styczeń 2002[13] White R., McPherson D., Srihari S., Practical BGP, Addison Wesley, sierpień 2006[14] Butler K., Farley T. R., McDaniel P., Rexford J., A Survey of BGP Security Issues and Solutions, Proceedings of the IEEE,
Vol. 98, No. 1, styczeń 2010[15] Kent S., Lynn C., Seo K., Secure Border Gateway Protocol, IEEE Journal on Selected Areas in Communications,
18(4):582592, kwiecień 2000[16] White R., Securing BGP through secure origin BGP, Technical report, Internet Protocol Journal, Cisco Systems,
wrzesień 2003[17] Goodell G., Aiello W., Griffin T., Working around BGP: An incremental approach to improving security and accuracy of
interdomain routing, Proc. of Internet Society Symposium on Network and Distributed System Security (NDSS03), 2003
[21] Zwierzchowski P., Nowak P., Wykorzystanie mechanizmów protokołu BGP do kształtowania rozpływu ruchu międzydomenowego, Politechnika Warszawska – Instytut Telekomunikacji, wrzesień 2009
[22] Dobrodziej Ł., Maćkowiak J., Infrastruktura laboratorium routingu międzydomenowego, Politechnika Warszawska – Instytut Telekomunikacji, wrzesień 2010
[29] http://www.cidr-report.org/as2.0/#Bogons, IPv4 CIDR Report AS2.0, marzec 2012[34] http://sharpsnmplib.codeplex.com, Strona biblioteki SharpSNMP, marzec 2010[35] http://www.dynagen.org/tutorial.htm, Opis narzędzi Dynamips/Dynagen, marzec 2010
DZIĘKUJEMY
