BGP安全之争(2) – 基本问题

作者 | 2010-02-24 19:32 | 类型 专题分析, 网络安全 | 7条用户评论 »

Sina WeiboBaiduLinkedInQQGoogle+RedditEvernote分享




参考前述的RPSEC工作组的成果我们来分析一下路由协议以及BGP之中的安全问题。

首先有一个前提,ugly的协议软件实现会带了很多安全漏洞,这个不值得我们讨论,这里讨论的是协议设计上没有cover的安全隐患。另外一些加密之类的简单场景就不用讨论了。

路由协议的基本组件如下:

1.传输子系统

对于OSPF就是IP,对于BGP就是TCP。传输层面的安全,我们掠过。其中包括一些问题,例如嗅探,会话劫持,信息篡改等等问题笔者认为可以用常规的方法,例如TLS等解决。不过对于OSPF相关的组播安全好像尚未制定标准。

2.邻居状态维护

邻居之间要有认证等等问题,如何确定一个路由器有权代表某AS(autonomous system) number通告路由是路由协议中的未决问题。

3.路由信息维护

路由信息的问题最大,尤其是路由与AS的关联,即一个AS是否是其通告路由的真正拥有者是路由安全的基本问题。

我们以BGP为例来说一下这一问题。

假定Appleleaf的AS属于中国电信,首席的AS属于AT&T。

由于misconfig或者被攻击或者whatever什么问题,Appleleaf的AS向全世界通告:陈怀临家的IP在我的AS中,且Appleleaf的AS Path看起来更舒服,于是首席家的流量都跑到Appleleaf这边了(科学的说法是首席被从internet踢出去了),首席自然也就无法上弯曲发文了。

BGP协议并未cover这个问题,而现实世界中笔者记得也听说过有这样的Bad Guy AS,像黑洞一样吸收和很多的internet流量,最后把自己噎死了,损人且不利己,因此安全问题不是耸人听闻。对于ISP,Traffic就是金钱,断开一天Revenue损失1/356,ISP对此问题最为关注。

上述问题是IGP, EGP路由协议共有问题,但大家都不太关注IGP,原因在于IGP的东东都在一个AS内部,安全问题是家事,清官难断家务事,自己捣鼓去吧。

(没有打分)

工具箱
本文链接 | | 打印此页 | 7条用户评论 »

雁过留声

“BGP安全之争(2) – 基本问题”有7个回复

  1. ABC 于 2010-02-24 11:25 下午

    对于运营商来说,原来OSPF用的比较多。但是新建运营网络以ISIS居多。移动,CN2的IGP就是ISIS。
    有对这个有研究的,可以多出来唠叨几句。

  2. ASR1k 于 2010-02-25 10:27 上午

    关于BGP安全. 主要有几种做法. 首先我们从传输层上来看, TCP并不是安全的, 并且BGP状态机中, TCP连接一段, 整个邻居关系就要重置. 这也带来了一些安全性的因素. 因此有人提出了基于bgp multisession的处理方式, 把AFI/SAFI分开. 这只避免了一部分问题. 另外对于TCP传输, 运营商之间的链路应该算是拥塞链路. tcp sack的支持我不知道现在多少路由器可以用在BGP上. 至少以前遇到过在做清洗中心的时候, 由于攻击流量过大, 导致进行BGP牵引的清洗设备与骨干网路由器的链接中断.

    这些是传输层的. 另一个是关于保密的, 现在BGP加密也就是MD5. 当然也可以通过在两个路由器之间配置IPsec, 然后将tcp在sa内传递. 这也解决了一部分安全问题.

    关于这位兄台所述的路由通告相关的安全性问题. 基本上也有两种处理方式, 一种是所有的路由器根据PKI体系进行证书分发. CA/RA放置在IANA. 但是还是不能防止恶意的或者错误的路由通告导致的IP hijack. 于是又产生了一些对通告的更新进行归属地查询认证的处理方式. 例如让IANA配置一个IP前缀属于某个AS的归属地数据库, 例如定义一个新的AFI/SAFI叫做 IPv4/IPv6 source AS verification Address family. 其中主要就是保存地址和AS的映射关系表.在接收到相关的更新后, 将这个更新和新的SAFI进行源AS匹配, 不匹配则丢弃. 这个新的AFI/SAFI的维护则主要是在运营商和IANA之间进行.

    除此之外, team-cymru上有一些模版可以进行参考.

  3. ASR1k 于 2010-02-25 10:30 上午

    to ABC, ISIS写的比较好的书可以参考hannes gredler先生的<>

    cisco的书..说实话写的不怎么样, jeffy的那本tcp/ip routing 写的太浅. 并且很多东西都一句带过没有解释清楚. 而IS-IS Design什么的书, 似乎也没什么价值, 章节很凌乱. 倒是前面说的hannes那本挺清晰的.

  4. 子曦 于 2010-02-25 11:13 上午

    <>

    http://hotfile.com/dl/27747612/2a7d265/STCIS-ISRP.rar.html

  5. 子曦 于 2010-02-25 11:14 上午

    The Complete IS-IS Routing Protocol by Hannes Gredler and Walter Goralski (Paperback – Dec. 16, 2004)

  6. appleleaf 于 2010-02-25 5:54 下午

    ASR1k兄,等我再写几篇写完后你可以帮我补遗两篇。

  7. 潜龙 于 2010-02-25 9:10 下午

    BGP安全关键在语义层面,而语义层面是非常非常难保护的。

    大家讨论的基本在语法层面。