[ITNOG] BGP Man In The Middle attack / RPKI - ROA - BGP Origin Certification
Alberto
alberf@gmail.com
Mer 12 Feb 2014 15:51:07 CET
Salve a tutti. Mi occupo di IT Security in ambito universitario.
Sto cercando di effettuare una indagine per capire il livello di
penetrazione, tra gli operatori di rete italiani, di tecniche e best
practice nel mitigare attacchi di tipo BGP Man In The Middle / BGP
hijacking.
Il "problema" è stato evidenziato pubblicamente a Defcon 16 in agosto
2008 (http://www.youtube.com/watch?v=IDoivWHVrGI)
ed è stato quindi ripreso da renesys a blackhat 2009
(http://www.renesys.com/wp-content/uploads/2013/05/blackhat-09.pdf)
In rete si trovano decine di articoli in merito:
http://www.wired.com/threatlevel/2008/08/revealed-the-in/
http://www.theregister.co.uk/2008/08/27/bgp_exploit_revealed/
http://arstechnica.com/security/2013/11/repeated-attacks-hijack-huge-chunks-of-internet-traffic-researchers-warn/
....
Ultimamente si sono verificati preoccupanti casi di traffic redirection
a livello globale..
http://www.renesys.com/2013/11/mitm-internet-hijacking/
Il problema di fondo è che BGP4 si basa sulla "fiducia" tra peer.. non
prevedendo alcun meccanismo di garanzia o verifica in merito alla
"bontà" degli annunci e delle controparti che si "pensa" siano sempre
"friendly".
Per rimendiare a questo "deficit strutturale" RIPE, ARIN e altri hanno
iniziato ad implementare sistemi di certificazione degli annunci (BGP
Origin Certification) mediante strutture crittografiche RPKI e ROA
Records con meccanismi concettualmente simili a quando avviene per DKIM
e DNSSEC.
http://www.ripe.net/lir-services/resource-management/certification
A livello tecnico.. l'implementazione prevede di affiancare un server al
core router.. con installato RIPE NCC RPKI Validator..
Il router pertanto non avrà alcun carico computazionale aggiuntivo che
verrà invece "scaricato" sul server agginutivo di supporto.
Tali strutture, una volta implementate, permetterebbero ad ogni
operatore di rete di verificare la correttezza di ogni annuncio
scartando gli annunci ROA INVALID e rendendo più semplice monitorare
eventuali allarmi di annunci fake mediante piattaforme quali bgpmon.net
, Renesys.. etc..
Personalmente credo che il futuro di BGP andrà certamente sempre più in
questa direzione...
Questo un documento di fcc.gov working group 6 in merito
(http://www.fcc.gov/encyclopedia/communications-security-reliability-and-interoperability-council-iii):
http://www.renesys.com/wp-content/uploads/2013/05/CSRIC-III-WG6-Presentation-20130314.pdf
In Germania il "club degli operatori" ne ha gia discusso nel 2011:
http://www.denog.de/meetings/denog3/agenda.php?lang=en
http://www.denog.de/meetings/denog3/pdf/11-Spies-RPKI.pdf
Cosa ne pensate ?
Esiste qualcuno in italia che implementa già questi meccanismi ?
Qual è la vostra opinione / esperienza ?
Alberto
Maggiori informazioni sulla lista
itnog