4.2. Эксплуатационная защита
Протокол BGP используется прежде всего как средство предоставления данных о доступности автономных систем и распространения информации о доступности внешних сетей внутри AS. BGP является протоколом маршрутизации, используемым для распространения глобальной маршрутной информации в Internet. Следовательно, BGP используется всеми основными сервис-провайдерами (ISP), а также более мелкими провайдерами и другими организациями.
Роль BGP в Internet помещает реализации протокола BGP в уникальные условия и предъявляет к BGP уникальные требования в части безопасности. Протокол BGP используется на интерфейсах, связывающих провайдеров, где уровни трафика требуют использования специально разработанного оборудования для пересылки пакетов и на многие порядки превосходят возможности шифровального оборудования. Способность атакующего генерировать трафик для организации DoS-атаки на рабочей станции с высокоскоростным интерфейсом значительно превосходит возможности программных систем шифрования или доступного по разумной цене криптографического оборудования, которые можно было бы использовать для детектирования такого трафика. В таких условиях основным средством защиты элементов сети от DoS-атак являются методы фильтрации пакетов на основе достаточно простых проверок. В результате для ISP, обслуживающих значительные объемы трафика, фильтрация пакетов по номерам портов является важным средством защиты от DoS-атак и необходимым дополнением к средствам криптографической инкапсуляции.
В современной практике ISP используют те или иные методы фильтрации общего назначения для снижения риска внешних атак. Для защиты внутренних сессий BGP (IBGP) фильтры реализуют на всех граничных узлах сети ISP. Эти фильтры блокируют весь трафик, адресованный внутренним элементам сети (обычно относящимся к одному префиксу) через порт BGP (179). При обнаружении номера порта BGP, пакеты из внутренней сети ISP не пересылаются с внутреннего интерфейса по адресу узла BGP, на котором поддерживаются внешние сессии BGP (EBGP), или адресам партнеров EBGP. Хорошо спроектированный и настроенный маршрутизатор способен ограничить риск компрометации, когда партнер BGP не может обеспечить должной фильтрации. Этот риск может быть ограничен также путем группировки сессий, в которых партнер не обеспечивает фильтрации, а также интерфейсов, через которые подключены партнеры.
Описанные выше меры существенно осложняют внешним узлам возможность организации DoS-атаки на ISP. Лишенный возможности создания требуемого для организации DoS-атаки внешнего трафика, злоумышленник вынужден будет использовать более сложные способы (например, взлом элементов сети ISP или перехват данных из физической среды).
5. Литература
5.1. Нормативные документы
| [RFC2119] | Bradner, S., «Key words for use in RFCs to Indicate Requirement Levels», RFC 2119, BCP 14, Март 1997. |
| [TCPMD5] | Heffernan, A., «Protection of BGP Sessions via the TCP MD5 Signature Option», RFC 2385, Август 1998. |
| [RFC4271] | Rekhter, Y., Li, T., and S. Hares, Eds., «Протокол BGP-4», RFC 4271, Январь 2006 |
5.2. Дополнительная литература
| [IPsec] | Kent, S. и R. Atkinson, «Security Architecture for the Internet Protocol», RFC 2401, Ноябрь 1998. |
| [SBGP00] | Kent, S., Lynn, C. и Seo, K., «Secure Border Gateway Protocol (Secure-BGP)», IEEE Journal on Selected Areas in Communications, Vol. 18, No. 4, Апрель 2000, pp. 582-592. |
| [SecCons] | Rescorla, E. и B. Korver, «Guidelines for Writing RFC Text on Security Considerations», BCP 72, RFC 3552, Июль 2003. |
| [Smith96] | Smith, B. и Garcia-Luna-Aceves, J.J., «Securing the Border Gateway Routing Protocol», Proc. Global Internet '96, London, UK, 20-21 November 1996. |
| [RPSL] | Villamizar, C., Alaettinoglu, C., Meyer, D., and S. Murphy, «Routing Policy System Security», RFC 2725, Декабрь 1999. |
| [Watson04] | Watson, P., «Slipping In The Window: TCP Reset Attacks», CanSecWest 2004, Апрель 2004. |
Адрес автора
Sandra Murphy
Sparta, Inc.
7075 Samuel Morse Drive
Columbia, MD 21046
EMail: moc.sbalsit@ydnas