Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Laboratorium bezpieczeństwa routingu międzydomenowego

OpublikowałMarzena Figurski Został zmieniony 10 lat temu

Podobne prezentacje

Prezentacja na temat: "Laboratorium bezpieczeństwa routingu międzydomenowego"— Zapis prezentacji:

1 Laboratorium bezpieczeństwa routingu międzydomenowego
Łukasz Dobrodziej, Jakub Maćkowiak Opiekun naukowy: mgr inż. Mariusz Mycek

2 Plan prezentacji Cel pracy i motywacja Wprowadzenie – protokół BGP
Wady BGP stanowiące zagrożenie bezpieczeństwa Rodzaje ataków wykorzystujących wady BGP Metody zabezpieczenia protokołu BGP Koncepcja laboratorium Podsumowanie

3 Cel pracy i motywacja Cel:
Rozszerzenie wiedzy dot. protokołu BGP o zagadnienia związane z jego bezpieczeństwem Charakterystyka zagrożeń Zebranie i przedstawienie dobrych praktyk, sposobów na ochronę przed zagrożeniami Przeprowadzenie laboratorium dotyczącego bezpieczeństwa BGP z udziałem studentów na stworzonej platformie laboratoryjnej

4 Cel pracy i motywacja Motywacja:
Rosnące wymagania odnośnie osiągalności w sieci Internet Słabości BGP mają wpływ na globalny routing Wady bezpieczeństwa BGP są powszechnie znane Spammers / Crackers Podatność na błędy konfiguracji (human factor)

5 Protokół BGP Podstawowy protokół klasy EGP (Exterior Gateway Protocol)
Wymiana informacji o dostępnych podsieciach między systemami autonomicznymi Protokół typu path-vector Oparty na regułach i parametrach administracyjnych

6 Wady BGP mogące powodować zagrożenie bezpieczeństwa
Brak pewności czy uczestnicy dialogu BGP rozgłaszają prefixy, których są właścicielami Ingerencja w rozgłoszenia ścieżek i ich atrybuty mająca na celu obalenie polityk routingowych ISP Przesyłanie wiadomości BGP (TCP/IP), jak każda transmisja w publicznej sieci, może być obiektem ataku

7 Rozgłaszanie niewłaściwych prefixów
Router może być skonfigurowany tak by rozgłaszać jakikolwiek prefix Jeśli choć jeden router sąsiadujący (pod względem sesji BGP) nie odrzuci nieprawidłowych rozgłoszeń, dostępność prefixu przez wrogi AS może się łatwo propagować Rozgłaszanie nieużytych przestrzeni adresowych (Bogon IP/Dark IP/Private IP) lub przynależnych do innych AS – Prefix Hijacking ‘Longest prefix match’ rule

8 Rozgłaszanie niewłaściwych ścieżek
Router może być skonfigurowany tak by wysyłać nieprawidłowe rozgłoszenia Zmodyfikowane atrybuty korzystniejsze / gorsze – za ich pomocą można umiejętnie skierować ruch na ścieżkę oczekiwaną przez stronę atakującą.

9 Announcement tampering
Path: 1, 2 Path: 1, 3, 100 AS 100 manipulując atrybutem AS_PATH może: - osiągnąć równą długość AS_PATH dla ścieżki przechodzącej przez niego (usunięcie AS 3) - osiągnąć krótsze AS_PATH jeśli usunie również AS 1

10 Przesyłanie wiadomości BGP
Kanał komunikacji może stać się celem ataków Poufność – brak obowiązku szyfrowania pakietów BGP – pozyskiwanie danych o ISP Integralność – brak obowiązku autoryzacji, brak hashowania: wstrzykiwanie nieprawidłowych danych selektywne kasowanie wiadomości modyfikowanie wiadomości atak powtórzeniowy Denial of Service (komunikacji BGP!) wysyłanie TCP RST wysyłanie TCP SYN (flooding)

11 Rodzaje ataków przy użyciu BGP
Denial of Service Błędy w konfiguracji routera, luki w protokole/konfiguracji, ataki na router, przeciążanie łączy Podsłuch Wprowadzenie nieprawidłowych informacji w celu zmiany routingu danych użytkowych Prefix hijacking Rozgłaszanie nieprawidłowych prefixów (spammers) ominięcie serwerów Real-time Blackhole List utrudnienie wykrycia pochodzenia spamu

12 Przypadki awarii Kwiecień 1997: AS 7007 ogłasza bezpośrednią ścieżkę do każdego prefixu w Internecie Grudzień 1999: Adresy serwerów AT&T rozgłoszone przez innego ISP Grudzień 2004: TTnet rozgłasza ponad 100k ścieżek Wrzesień 2005: AT&T, XO, Bell South przekierowane do Boliwii Styczeń 2006: Wiele sieci przekierowanych do operatora z Nowego Jorku Źródło: BGP Security, RIPE 52 Meeting,

13 Przypadki awarii Grudzień 2004:
09:19 AS9121 (TTnet) rozgłasza ponad ścieżek, 09:19 AS6762 (Telecom Italia) przyjmuje rozgłoszenie (brak ograniczenia na max prefix) Rozgłoszenia z AS6762 zapychają do max prefix wszystkich sąsiadów 09:20 Błędne rozgłoszenia AS9121 przykrywają rozgłoszenia prawowitych właścicieli 09:36 Największa wartość nieprawidłowych rozgłoszeń. ‘neighbor maximum-prefix’ - niewystarczające. Źródło: The Anatomy of a Leak: AS9121,

14 Awarie - Prefix Hijacking
Router z AS 1 rozgłasza prefix /16 /16

15 Awarie – Prefix Hijacking
Router z AS 5 rozgłasza konkurencyjną ścieżkę dla tego prefixu. Ścieżka jest ‘lepsza’ w kategorii długości AS_PATH dla AS 4 i jednakowa dla AS 3 /16

16 Awarie - Prefix Hijacking
Router z AS 5 rozgłasza konkurencyjną ścieżkę dla prefixu o dłuższej masce adresu. Ścieżka jest ‘lepsza’ w kategorii ‘szczegółowość’ prefixu dla AS 2 włącznie /16

17 Wymagania na zabezpieczenie BGP
Zachowanie dotychczasowej skalowalności Umiar w dodatkowym obciążeniu wydajnościowym routerów Wsteczna kompatybilność Ograniczone zaufanie między uczestnikami Niechęć do dystrybucji informacji przez operatorów

18 Zabezpieczenie Sesji pomiędzy peer’ami BGP
filtry ruchu (Access Control Lists) Sekwencyjna lista instrukcji zezwoleń (permit) lub zakazów (deny), które są stosowane w odniesieniu do adresów lub protokołów wyższych warstw Uwierzytelnianie MD5 Wewnątrz TCP (dodatkowy nagłówek) Weryfikacja, że dane urządzenie wysłało pakiet Ustalenie i ręczna konfiguracja hasła

19 Zabezpieczenie Sesji pomiędzy peer’ami BGP
Rys. Uwierzytelnienie MD5

20 Zabezpieczenie Sesji pomiędzy peer’ami BGP
BGP over IPSec (popularna metoda) Definiuje metody szyfrowania i uwierzytelniania nagłówków i zawartości pakietów Ochrona integralności i zabezpieczenie przed podsłuchem oraz podszywaniem się Użycie IKE do zarządzania kluczami TTL security mechanizm TCP (używane przez BGP do transportu) umożliwia użycie każdego host’a w sieci do ataku Ograniczenie z góry wartości TTL Tylko routery z określonego zasięgu mogą wysyłać informacje

21 Zabezpieczenie Sesji pomiędzy peer’ami BGP
Rys. TTL security mechanizm

22 Test Reverse Path Forward
Zabezpieczenie przed podszywaniem się host’ów pod używany w sieci adres IP (np. do ataku DoS) Sprawdzanie adresu źródłowego przy użyciu lokalnej informacji routingowej „czy pakiet z danym adresem źródłowym  przyszedł na interfejs, przez który wiedzie ścieżka do tej sieci źródłowej” Problem z przypadku wielu ścieżek (dual-homed)

23 Test Reverse Path Forward
Rys. Reverse path forward

24 Zintegrowane rozwiązania problemu bezpieczeństwa protokołu BGP- soBGP
Pozwala na: walidacje pochodzenia informacji routingowej walidacje istnienia co najmniej jeden ścieżki od źródła Wykorzystuje : bazę danych prawidłowych systemów autonomicznych i ich kluczy bazę prefiksów powiązanych z systemem autonomicznym (źródłowym) skierowany graf opisujący wszystkie znane prawidłowe ścieżki

25 Zintegrowane rozwiązania problemu bezpieczeństwa protokołu BGP- soBGP
Lokalne topologie są wykorzystywane do stworzenia bazy z topologią globalną (statyczny graf sieci – problem z odświeżaniem) Routery soBGP używają bazy z topologią sieci do walidacji otrzymanych ścieżek Certyfikaty przenoszone są w nowym atrybucie SECURITY Do sprawdzania certyfikatów oraz topologii wykorzystany jest mechanizm out-of-band (PKI)

26 Zintegrowane rozwiązania problemu bezpieczeństwa protokołu BGP- soBGP
Rys. Prosty graf zbudowany z lokalnych informacji o topologii

27 Zintegrowane rozwiązania problemu bezpieczeństwa protokołu BGP – S-BGP
Wykorzystuje podpis cyfrowego i powiązane z nim certyfikaty (infrastruktura klucza publicznego) PKI przechowuje informacje o posiadanych prefiksach przez dane AS’y (IANA) PKI wiąże AS’y z organizacjami a organizacje z routerami w ich sieci przez wydanie certyfikatów (uwierzytelnienie samych urządzeń) Wszystkie informacje przekazane w ramach wiadomości BGP (posiadane prefiksy, ASN, wektor ścieżki) są podpisywane przez urządzenie, od którego pochodzą

28 Zintegrowane rozwiązania problemu bezpieczeństwa protokołu BGP - S-BGP
Rys. Rozgłaszanie ścieżki (wiadomość UPDATE) przez S-BGP

29 Zintegrowane rozwiązania problemu bezpieczeństwa protokołu BGP – IRV
Rozwiązanie niezależne od protokołu routingowego Każdy AS posiada serwer IRV Serwer weryfikuje poprawność otrzymanych informacji routingowych poprzez sekwencję zapytań do innych serwerów IRV na ścieżce Każdy serwer IRV zarządza informacjami tylko ze swojego macierzystego ASa

30 Zintegrowane rozwiązania problemu bezpieczeństwa protokołu BGP – IRV
Rys. Zapytanie IRV sprawdzające poprawność otrzymanych informacji routingowych

31 Infrastruktura laboratorium

32 Widok podstawowy

33 Okno weryfikacji

34 Raport

35 Scenariusz laboratorium
Rys. Prefix Hijacking

36 Podsumowanie Kontynuacja pracy inżynierskiej
Rozszerzenie wiedzy dot. protokołu BGP o zagadnienia związane z jego bezpieczeństwem Przeprowadzenie laboratorium dotyczącego bezpieczeństwa BGP z udziałem studentów na stworzonej platformie laboratoryjnej Wykorzystanie aplikacji do przeprowadzania i automatycznej oceny wykonania laboratorium

37 Dziękujemy

Pobierz ppt "Laboratorium bezpieczeństwa routingu międzydomenowego"

Podobne prezentacje

Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.

Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Router(config)# access-list 1 permit 0.0.0.0 255.255.255.255 ale można również: Router(config)# access-list 1 permit any.

Router(config)# access-list 1 permit ale można również: Router(config)# access-list 1 permit any.
PROPOZYCJE ZAPISU Autorzy: Uczniowie należący do Samorządu Szkolnego.

PROPOZYCJE ZAPISU Autorzy: Uczniowie należący do Samorządu Szkolnego.
Propozycje klasy 6. do kodeksu2.0 - Nauczcie tego dorosłych - Komputery pod ręką

Propozycje klasy 6. do kodeksu2.0 - Nauczcie tego dorosłych - Komputery pod ręką
Czyli jak zrobić prezentację komputerową?

Czyli jak zrobić prezentację komputerową?
Zastosowanie osi symetrii i wielokątów w przyrodzie

Zastosowanie osi symetrii i wielokątów w przyrodzie
Ekorozwój w naszym regionie – Szkolny ogródek Opracowali : Mateusz Gryczuk IIIB Jakub Wykrętowicz IIIB.

Ekorozwój w naszym regionie – Szkolny ogródek Opracowali : Mateusz Gryczuk IIIB Jakub Wykrętowicz IIIB.
Niebezpieczeństwa które czyhają na ciebie w sieci

Niebezpieczeństwa które czyhają na ciebie w sieci
Małgorzata Pietroczuk

Małgorzata Pietroczuk
Wirtualna przestrzeń eLearningowa (iCamp case) Jan Kusiak, Anna Danielewska-Tułecka, Dariusz Górka Centrum e-Learningu Akademia Górniczo-Hutnicza.

Wirtualna przestrzeń eLearningowa (iCamp case) Jan Kusiak, Anna Danielewska-Tułecka, Dariusz Górka Centrum e-Learningu Akademia Górniczo-Hutnicza.
Ewaluacja zewnętrzna Zasady informowania o działaniach w ramach pedagogicznego nadzoru zewnętrznego.

Ewaluacja zewnętrzna Zasady informowania o działaniach w ramach pedagogicznego nadzoru zewnętrznego.
Zastosowanie Internetu

Zastosowanie Internetu
ODYSEJA UMYSŁU.

ODYSEJA UMYSŁU.
Systemy klastrowe inaczej klasterowe.

Systemy klastrowe inaczej klasterowe.
Portal Systemu Jakości Kształcenia Jak się zalogować? Instrukcja dla pracowników UMCS Przygotowanie: Urszula Wojtczak, Zespół Obsługi Systemu Jakości Kształcenia.

Portal Systemu Jakości Kształcenia Jak się zalogować? Instrukcja dla pracowników UMCS Przygotowanie: Urszula Wojtczak, Zespół Obsługi Systemu Jakości Kształcenia.
Elektronika cyfrowa Prezentacja Remka Kondrackiego.

Elektronika cyfrowa Prezentacja Remka Kondrackiego.
Prąd Elektryczny.

Prąd Elektryczny.
WNIOSKI Z PRZEPROWADZONEJ ANKIETY NA TEMAT SAMORZĄDU UCZNIOWSKIEGO ORAZ GAZETKI SZKOLNEJ „KUJONEK”

WNIOSKI Z PRZEPROWADZONEJ ANKIETY NA TEMAT SAMORZĄDU UCZNIOWSKIEGO ORAZ GAZETKI SZKOLNEJ „KUJONEK”
PREZENTACJA WYKORZYSTANA PODCZAS DEBATY W SALI PATRONA SZKOŁY.

PREZENTACJA WYKORZYSTANA PODCZAS DEBATY W SALI PATRONA SZKOŁY.
Powiedzmy, że jest 18 15 i wracasz do domu samochodem (oczywiście sam) po niezwykle ciężkim dniu pracy. Jesteś naprawdę zmęczony i sfrustrowany.

Powiedzmy, że jest i wracasz do domu samochodem (oczywiście sam) po niezwykle ciężkim dniu pracy. Jesteś naprawdę zmęczony i sfrustrowany.

Podobne prezentacje

Reklamy Google