Opiekun naukowy: mgr inż. Mariusz Mycek

LABORATORIUM BEZPIECZEŃSTWA ROUTINGU MIĘDZYDOMENOWEGO

Łukasz Dobrodziej, Jakub Maćkowiak

PLAN PREZENTACJI

1. Cel pracy i motywacja

2. Wady BGP stanowiące zagrożenie bezpieczeństwa

3. Rodzaje ataków wykorzystujących wady BGP

4. Wymagania na zabezpieczenie protokołu BGP

5. Metody zabezpieczenia protokołu BGP

6. Podsumowanie

7. Bibliografia

CEL PRACY I MOTYWACJA

Cel:

Przedstawienie zagrożeń

Rozbudowa bazy wiedzy o problemach zabezpieczeń protokołu BGP

Przedstawienie dobrych praktyk, jak można poradzić sobie z zagrożeniami

Przedstawienie kompleksowych propozycji rozwiązań problemu bezpieczeństwa BGP

Przeprowadzenie testowego laboratorium dot. bezpieczeństwa BGP z udziałem studentów na stworzonej platformie laboratoryjnej

Motywacja:

Rosnące wymagania odnośnie osiągalności w sieci Internet

Słabości BGP mają wpływ na globalny routing

Wady bezpieczeństwa BGP są powszechnie znane Spammers / Crackers

Podatność na błędy konfiguracji (human factor)

Stosowane metody przegrywają próbę czasu

CEL PRACY I MOTYWACJA

WADY BGP MOGĄCE POWODOWAĆ ZAGROŻENIE

BEZPIECZEŃSTWA Brak pewności czy uczestnicy dialogu BGP

rozgłaszają prefixy, których są właścicielami

Przesyłanie wiadomości BGP (TCP/IP), jak każda transmisja w publicznej sieci, może być obiektem ataku

Ingerencja w rozgłoszenia ścieżek i ich atrybuty mająca na celu obalenie polityk routingowych ISP

ROZGŁASZANIE NIEWŁAŚCIWYCH PREFIXÓW

Router może być skonfigurowany tak by rozgłaszać jakikolwiek prefix

Jeśli choć jeden router sąsiadujący (pod względem sesji BGP) nie odrzuci nieprawidłowych rozgłoszeń, dostępność prefixu przez wrogi AS może się łatwo propagować

Rozgłaszanie nieużytych przestrzeni adresowych (Bogon IP/Dark IP/Private IP) lub przynależnych do innych AS – Prefix Hijacking

‘Longest prefix match’ rule

Najczęstsze przypadki to błędy ludzi!

ROZGŁASZANIE NIEWŁAŚCIWYCH ŚCIEŻEK

Router może być skonfigurowany tak by wysyłać nieprawidłowe rozgłoszenia

Zmodyfikowane atrybuty

korzystniejsze / gorsze – za ich pomocą można umiejętnie skierować ruch na ścieżkę oczekiwaną przez stronę atakującą. Fakt – path prepending – metoda ‘pogarszania’

parametrów ścieżki jest stosowana w codzienności.

ANNOUNCEMENT TAMPERING

Path: 1, 2

Path: 1, 3, 100

AS 100 manipulując atrybutem AS_PATH może:- osiągnąć równą długość AS_PATH dla ścieżki przechodzącej przez niego (usunięcie AS 3) - osiągnąć krótsze AS_PATH jeśli usunie również AS 1 (fakt – route aggregation zastosowany na AS 100 mógłby wywołać taki właśnie efekt (brak złych intencji – znaczne zmiany w routingu))

PRZESYŁANIE WIADOMOŚCI BGP

Kanał komunikacji może stać się celem ataków

Poufność – brak obowiązku szyfrowania pakietów BGP – pozyskiwanie danych o ISP

Integralność (‘Man in the middle’) – brak obowiązku autoryzacji, brak hashowania:

wstrzykiwanie nieprawidłowych danych wpływanie na decyzję wyboru ścieżki

dążenie do DoS routera

selektywne kasowanie wiadomości odnawianie sesji BGP jest ‘kosztowne’

częste zmiany rozgłaszanych ścieżek powodują do kompromitacji ich źródła

PRZESYŁANIE WIADOMOŚCI BGP

Integralność - ciąg dalszy:

modyfikowanie wiadomości niespójna informacja routingowa (najlepsza ścieżka wyliczana

lokalnie)

wpływanie na routing, możliwość tworzenia pętli, doprowadzanie do niekorzystnego wyboru ścieżek

atak powtórzeniowy potencjalnie opiera się stosowaniu haseł

wpływanie na routing

doprowadzanie do route flapping poprzez powtarzanie wycofań ścieżek

Man-in-the-middle może decydować o rozpływie ruchu!

PRZESYŁANIE WIADOMOŚCI BGP

Denial of Service (komunikacji BGP!)

wysyłanie TCP RST resetowanie połączenia – routery są zmuszone ustanowić

od nowa sesję BGP (wiąże się to zawsze z wysłaniem wszystkich rozgłoszeń)

wysyłanie TCP SYN (flooding) niedokończone three-way-handshake zablokują możliwość

nawiązania rzeczywistej sesji BGP

dążenie do osiągnięcie utworzenia BGP Wedgie trwałe, nieprawidłowe stany sesji BGP wymagające ręcznej

ingerencji administratorów [rfc4264]

Denial of Service

Błędy w konfiguracji routera, luki w protokole/konfiguracji, ataki na router, przeciążanie łączy

Podsłuch

Wprowadzenie nieprawidłowych informacji w celu zmiany routingu danych użytkowych

Prefix hijacking

Rozgłaszanie nieprawidłowych prefixów (spammers) ominięcie serwerów Real-time Blackhole List

utrudnienie wykrycia pochodzenia spamu

RODZAJE ATAKÓW PRZY UŻYCIU BGP

PRZYPADKI AWARII

Kwiecień 1997: AS 7007 ogłasza bezpośrednią ścieżkę do każdego prefixu w Internecie

Grudzień 1999: Adresy serwerów AT&T rozgłoszone przez innego ISP

Grudzień 2004: TTnet rozgłasza ponad 100k ścieżek

Wrzesień 2005: AT&T, XO, Bell South przekierowane do Boliwii

Styczeń 2006: Wiele sieci przekierowanych do operatora z Nowego Jorku

Źródło: BGP Security, RIPE 52 Meeting, www.ripe.net/meetings

PRZYPADKI AWARII Grudzień 2004:

09:19 AS9121 (TTnet) rozgłasza ponad 100.000 ścieżek,

09:19 AS6762 (Telecom Italia) przyjmuje rozgłoszenie (brak ograniczenia na max prefix) Rozgłoszenia z AS6762 zapychają do max prefix

wszystkich sąsiadów

09:20 Błędne rozgłoszenia AS9121 przykrywają rozgłoszenia prawowitych właścicieli

09:36 Największa wartość nieprawidłowych rozgłoszeń. ‘neighbor maximum-prefix’ - niewystarczające.

Źródło: The Anatomy of a Leak: AS9121, www.renesys.com

PODSŁUCH - RODZAJE

PREFIX HIJACKING

150.150.0.0/16

Router z AS 1 rozgłasza prefix 150.150.0.0/16

PREFIX HIJACKING

150.150.0.0/16

Router z AS 5 rozgłasza konkurencyjną ścieżkę dla tego prefixu.Ścieżka jest ‘lepsza’ w kategorii długości AS_PATH dla AS 4 i jednakowa dla AS 3

PREFIX HIJACKING

?150.150.0.0/16

Router z AS 5 rozgłasza konkurencyjną ścieżkę dla prefixu o dłuższej masce adresu.Ścieżka jest ‘lepsza’ w kategorii ‘szczegółowość’ prefixu dla AS 2 włącznie

WYMAGANIA NA ZABEZPIECZENIE BGP

Zachowanie dotychczasowej skalowalności

Umiar w dodatkowym obciążeniu wydajnościowym routerów

Wsteczna kompatybilność

Ograniczone zaufanie między uczestnikami

Niechęć do dystrybucji informacji przez operatorów

DOBRE PRAKTYKI - FILTROWANIE

Filtrowanie prefiksów z fałszywej przestrzeni adresowej (Bogon/Dark IP/Private IP Prefixes)

Filtrowanie rozgłoszeń zawierających prywatne ASN oraz długie AS_PATH

Filtrowanie małych podsieci (wstrzykiwanie statycznego routingu)

Nakładanie limitu na liczbę prefiksów, które może rozgłosić sąsiad

Filtrowanie przez ISP rozgłoszeń klientów (pod kątem ścieżek od innego dostawcy, ścieżek do sieci nieposiadanych przez klienta)

Nadpisywanie wartości atrybutów, które nie są używane (MED=0, filtrowanie ścieżek z nieznanymi COMMUNITY)

ZABEZPIECZENIE SESJI POMIĘDZY PEER’AMI BGP

filtry ruchu (Access Control Lists)

Sekwencyjna lista instrukcji zezwoleń (permit) lub zakazów (deny), które są stosowane w odniesieniu do adresów lub protokołów wyższych warstw

Uwierzytelnianie MD5 Wewnątrz TCP (dodatkowy nagłówek) Weryfikacja, że dane urządzenie wysłało pakiet Ustalenie i ręczna konfiguracja hasła

ZABEZPIECZENIE SESJI POMIĘDZY PEER’AMI BGP

Rys.1 Uwierzytelnienie MD5

ZABEZPIECZENIE SESJI POMIĘDZY PEER’AMI BGP

BGP over IPSec (popularna metoda) Definiuje metody szyfrowania i uwierzytelniania

nagłówków i zawartości pakietów Ochrona integralności i zabezpieczenie przed podsłuchem

oraz podszywaniem się Użycie IKE do zarządzania kluczami

TTL security mechanizm TCP (używane przez BGP do transportu) umożliwia użycie

każdego host’a w sieci do ataku Ograniczenie z góry wartości TTL Tylko routery z określonego zasięgu mogą wysyłać

informacje

ZABEZPIECZENIE SESJI POMIĘDZY PEER’AMI BGP

Rys.2 TTL security mechanizm

TEST REVERSE PATH FORWARD

Zabezpieczenie przed podszywaniem się host’ów pod używany w sieci adres IP (np. do ataku DoS)

Sprawdzanie adresu źródłowego przy użyciu lokalnej informacji routingowej

„czy pakiet z danym adresem źródłowym przyszedł na interfejs, przez który wiedzie ścieżka do tej sieci źródłowej”

Problem z przypadku wielu ścieżek (dual-homed)

TEST REVERSE PATH FORWARD

Rys. 3 Reverse path forward

ZINTEGROWANE ROZWIĄZANIA PROBLEMU BEZPIECZEŃSTWA

PROTOKOŁU BGP- SOBGP

Pozwala na: walidacje pochodzenia informacji routingowej ustalanie polityk odnośnie prefiksów przez sieć

źródłową walidacje istnienia co najmniej jeden ścieżki od źródła

Wykorzystuje : bazę danych prawidłowych systemów autonomicznych i

ich kluczy bazę prefiksów powiązanych z systemem

autonomicznym (źródłowym) skierowany graf opisujący wszystkie znane prawidłowe

ścieżki

Definiuje PKI do uwierzytelniania i autoryzacji organizacji, zarządza trzema rodzajami certyfikatów: Entity cert – przypisanie klucza publicznego

każdemu routerowi soBGP Policy cert – opisuje połączenie do systemu

autonomicznego (lokalna topologia) i polityki odnośnie prefiksów, które rozgłasza

Auth cert – zbiór systemów autonomicznych, które mają prawo, żeby rozgłaszać dane prefiksy

ZINTEGROWANE ROZWIĄZANIA PROBLEMU BEZPIECZEŃSTWA PROTOKOŁU BGP-

SOBGP

ZINTEGROWANE ROZWIĄZANIA PROBLEMU BEZPIECZEŃSTWA

PROTOKOŁU BGP- SOBGP

Lokalne topologie są wykorzystywane do stworzenia bazy z topologią globalną (statyczny graf sieci – problem z odświeżaniem)

Routery soBGP używają bazy z topologią sieci do walidacji otrzymanych ścieżek

Certyfikaty przenoszone są w nowym atrybucie SECURITY

Do sprawdzania certyfikatów oraz topologii wykorzystany jest mechanizm out-of-band

ZINTEGROWANE ROZWIĄZANIA PROBLEMU BEZPIECZEŃSTWA PROTOKOŁU BGP –

S-BGP

Wykorzystuje podpis cyfrowego i powiązane z nim certyfikaty (infrastruktura klucza publicznego)

PKI przechowuje informacje o posiadanych prefiksach przez dane AS’y (IANA)

PKI wiąże AS’y z organizacjami a organizacje z routerami w ich sieci przez wydanie certyfikatów

Wszystkie informacje przekazane w ramach wiadomości BGP (posiadane prefiksy, ASN, wektor ścieżki) są podpisywane przez urządzenie, od którego pochodzą

Świadectwa – podpisane wyrażenia użyte do zapewnienia autentyczności posiadania prefiksów i rozgłaszanych ścieżek Świadectwa adresów – Potwierdza posiadanie danych

prefiksów, podpisywane i rozpowszechniane out-of-band Świadectwo tras – przenoszone w ramach S-BGP w

nowym atrybucie zmodyfikowanej wiadomości UPDATE, świadectwo jest podpisywane przez każdy AS przy przekazaniu wiadomości (zagnieżdżenie) weryfikacja czy AS’y były przemierzane w danej kolejności

czy żadne AS’y nie zostały dodane lub usunięte z rozgłoszenia

ZINTEGROWANE ROZWIĄZANIA PROBLEMU BEZPIECZEŃSTWA PROTOKOŁU BGP –

S-BGP

Rys. 4 Rozgłaszanie ścieżki (wiadomość UPDATE) przez S-BGP

ZINTEGROWANE ROZWIĄZANIA PROBLEMU BEZPIECZEŃSTWA PROTOKOŁU BGP -

S-BGP

ZINTEGROWANE ROZWIĄZANIA PROBLEMU BEZPIECZEŃSTWA

PROTOKOŁU BGP – IRV

Rozwiązanie niezależne od protokołu routingowego

Każdy AS posiada serwer IRV

Serwer weryfikuje poprawność otrzymanych informacji routingowych poprzez sekwencję zapytań do innych serwerów IRV na ścieżce

Każdy serwer IRV zarządza informacjami tylko ze swojego macierzystego ASa

ZINTEGROWANE ROZWIĄZANIA PROBLEMU BEZPIECZEŃSTWA

PROTOKOŁU BGP – IRV

Rys. 5 Zapytanie IRV sprawdzające poprawność otrzymanych informacji routingowych

AS-SET

AS-SET

Zysk dla bezpieczeństwa: Dzięki AS-SET możemy nie tracić informacji o wszystkich AS na ścieżce (bez AS-SET blacklist mają ograniczoną wykrywalność niechcianych ścieżek)

Strata na skalowalności: Gdy używamy AS-SET zmiana choć jednego prefixu należącego do zagregowanej ścieżki powoduje konieczność przesłania kolejnego UPDATE

DZIĘKUJEMY