1 / 18

Laboratorium routingu międzydomenowego Bezpieczeństwo protokołu BGP

Laboratorium routingu międzydomenowego Bezpieczeństwo protokołu BGP. Łukasz Dobrodziej, Jakub Maćkowiak. Kierujący pracą dyplomową: mgr inż. Mariusz Mycek. Opiekun naukowy: doc. dr inż. Michał Jarociński. Plan prezentacji. Motywacja i cel pracy Podatność BGP i klasyfikacja ataków

nami
Télécharger la présentation

Laboratorium routingu międzydomenowego Bezpieczeństwo protokołu BGP

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Laboratorium routingumiędzydomenowegoBezpieczeństwo protokołu BGP Łukasz Dobrodziej, Jakub Maćkowiak Kierujący pracą dyplomową: mgr inż. Mariusz Mycek Opiekun naukowy: doc. dr inż. Michał Jarociński

  2. Plan prezentacji Motywacja i cel pracy Podatność BGP i klasyfikacja ataków Metody zabezpieczenia protokołu BGP Koncepcja laboratorium Podsumowanie

  3. Motywacja • BGP – podstawowy protokół routingumiędzydomenowego • Brak wbudowanych mechanizmów bezpieczeństwa • Podatność na błędy konfiguracyjne i ataki • Wpływ na stabilność i poprawność globalnego routingumiędzydomenowego • Rozbudowa wstępnej wersji infrastruktury laboratorium

  4. Cel pracy • Analiza podatności protokołu BGP na ataki • Klasyfikacja ataków oraz metod zabezpieczeń • Stworzenie ćwiczenia laboratoryjnego • Rozbudowa oraz uelastycznienie istniejącej infrastruktury laboratorium

  5. Podatność BGP • Akceptowanie nieautoryzowanych prefiksów • Akceptowanie nieautoryzowanych ścieżek / atrybutów ścieżek • Ingerencja w kanał komunikacji wiadomości BGP

  6. Klasyfikacja ataków • Przejęcie prefiksu (ang. prefixhijacking) • DoS / Man-in-the-middle • Rozgłaszanie ścieżek dla nieprzydzielonych przestrzeni adresowych • DoS (tzw. backscatter) / Spam • Modyfikowanie tras ruchu użytkowego • DoS (sieci) / Man-in-the-middle

  7. Atak PrefixHijacking Router z AS 1 rozgłasza posiadany prefiks: 150.150.0.0/16 150.150.0.0/16

  8. Atak PrefixHijacking Router z AS 5 rozgłasza konkurencyjną ścieżkę dla tego prefiksu. Ścieżka jest ‘lepsza’ w kategorii długości AS_PATH dla AS 4 i jednakowa dla AS 3 150.150.0.0/16

  9. Mechanizmy zwiększające bezpieczeństwo protokołu BGP • Zabezpieczenie sesji BGP • Uwierzytelnianie MD5 (TCP) • BGP overIPSec • Filtrowanie rozgłoszeń protokołu BGP – dobre praktyki • Rejestry routingu – współdzielona, globalna informacja o prawidłowym routingu

  10. Zintegrowane systemy bezpieczeństwa protokołu BGP • Ograniczone możliwości i efektywność obecnie stosowanych mechanizmów • Rozwiązanie – zintegrowany system bezpieczeństwa protokołu BGP oparty na rejestrach routingowych i kryptografii • Secure-BGP (rozszerzenie BGP) • secureorigin BGP (rozszerzenie BGP) • InterdomainRouteValidation(niezależny od protokołu)

  11. Scenariusz laboratorium

  12. Infrastruktura laboratorium

  13. Widok podstawowy

  14. Okno weryfikacji

  15. Podsumowanie • Analiza podatności protokołu BGP na ataki • Klasyfikacja ataków oraz metod zabezpieczeń (dobre praktyki) • Stworzenie ćwiczenia laboratoryjnego • Rozbudowa oraz uelastycznienie istniejącej infrastruktury laboratorium • Wielokrotne przeprowadzenie ćwiczenia testowego z udziałem studentów

  16. Możliwości rozwoju • Stworzenie platformy służącej do projektowania ćwiczeń laboratoryjnych • Graficzny edytor scenariuszy • Generator testów weryfikujących • Utworzenie nowych ćwiczeń (inne protokoły) • Rozbudowa o funkcje ułatwiające studentom najczęściej wykonywane operacje na routerach

  17. Bibliografia [4] Heffernan A., Protection of BGP Sessions via the TCP MD5 SignatureOption, RFC 2385, sierpień1998 [5] Meyer D., Gill V., Heasley J., The Generalized TTL Security Mechanism (GTSM), RFC 3682, luty 2004 [7] Rekhter Y., Li T., Hares S., A BorderGatewayProtocol 4 , RFC 4271, styczeń 2006 [8] Murphy S., BGP Security VulnerabilitiesAnalysis, RFC 4272, styczeń 2006 [10] Kaeo M., Current Operational Security Practices in Internet Service ProviderEnvironments, RFC 4778, styczeń 2007 [12] Ward D., Securing BGPv4 usingIPsec, draft-ward-bgp-ipsec, styczeń 2002 [13] White R., McPherson D., Srihari S., Practical BGP, Addison Wesley, sierpień 2006 [14] Butler K., Farley T. R., McDaniel P., Rexford J., A Survey of BGP SecurityIssues and Solutions, Proceedings of the IEEE, Vol. 98, No. 1, styczeń2010 [15] Kent S., Lynn C., Seo K., Secure Border Gateway Protocol, IEEE Journalon Selected Areas in Communications, 18(4):582592, kwiecień 2000 [16] White R., Securing BGP through secure origin BGP, Technical report,Internet ProtocolJournal, Cisco Systems, wrzesień 2003 [17] Goodell G., Aiello W., Griffin T., Working around BGP: An incrementalapproach to improving security and accuracy of interdomain routing,Proc. of Internet Society Symposium on Network and Distributed System Security (NDSS03), 2003 [21] Zwierzchowski P., Nowak P., Wykorzystanie mechanizmów protokołu BGP do kształtowania rozpływu ruchu międzydomenowego, Politechnika Warszawska – Instytut Telekomunikacji, wrzesień 2009 [22] Dobrodziej Ł., Maćkowiak J., Infrastruktura laboratorium routingumiędzydomenowego, Politechnika Warszawska – Instytut Telekomunikacji, wrzesień 2010 [29] http://www.cidr-report.org/as2.0/#Bogons, IPv4 CIDR Report AS2.0, marzec 2012 [34] http://sharpsnmplib.codeplex.com, Strona biblioteki SharpSNMP, marzec2010 [35] http://www.dynagen.org/tutorial.htm, Opis narzędzi Dynamips/Dynagen, marzec 2010

  18. Dziękujemy

More Related