오늘, 우리는 국경 게이트웨이 프로토콜에 대해 이야기하기 위해 여기에 (BGP) 그리고 우리가 우리의 네트워크에서 보안을 향해 취한 최근의 단계. 한동안 Route Origin 권한 부여(ROA)로 접두사에 서명했지만 전 세계 모든 에지 게이트웨이 라우터에 대한 경로 유효성 검사를 구현했으며 이제 RPKI-무효 접두사를 삭제하고 있습니다.
이러한 변화를 이해하려면 TCP 프로토콜의 작동 방식을 이해해야 합니다. BGP는 인터넷이 작동하게 만드는 프로토콜 중 하나입니다. 인터넷은 방대한 네트워크네트워크입니다. 이러한 독립 네트워크에는 RI(지역 인터넷 레지스트리)가 프로비전한 자체 IP 주소 범위가 있습니다. 이러한 범위는 BGP가 접두사로지칭하는 것입니다.
다음으로 이러한 접두사는 자율 시스템 번호(ASN)라는 숫자로 식별되는 자율 시스템(AS)이라는 추상 시스템에서 함께 그룹화됩니다. 마지막으로, 모든 독립 네트워크의 BGP 말하기 에지 라우터를 피어라고합니다. BGP가 작동하려면 각 피어는 네트워크 접두사 공지사항의 형태로 이웃 피어와 라우팅 정보를 교환합니다. 피어는 라우팅 정책에 따라 있는 모든 경로를 교환할 수 있기 때문에 AS는 접두사를 배우기 위해 다른 AS와 직접 연결할 필요가 없습니다. 이러한 경우 중개인 AS는 에지 AS와 라우팅 정보를 교환하는 전송 AS의 목적을 제공합니다.
BGP 납치
의도하든 우발적이든 통제하지 않는 접두사에 대한 잘못된 광고인 BGP 하이재킹이라고 합니다. 그 결과 DDoS, 모니터링, 스팸 등과 같은 다양한 유형의 공격이 포함됩니다.
BGP 하이재킹 공격이 성공하려면 다른 네트워크가 다음과 같은 방법 중 하나에서 가장 좋은 경로로 납치된 경로를 선택해야 합니다.
- BGP는 일반적으로 가장 짧은 AS 경로 길이를 선호하므로 적대자는 합법적인 접두사 소유자보다 더 짧은 AS 경로 길이를 제공할 수 있습니다. 다른 BGP 특성은 경로를 선호하는 데도 사용할 수 있지만 이 동작은 ASN의 라우팅 정책에 매우 의존합니다.
- 적대자는 진정한 AS에서 발표할 수 있는 것보다 더 구체적인 접두사를 발표해야 합니다. 접두사 길이 기반 하이재는 잠재적으로 복잡한 BGP 정책에 의존하지 않기 때문에 성공할 가능성이 높습니다.
이러한 공격이 성공하기 에는 공격 복잡성이 매우 높지만 BGP 납치는 어떤 형태의 승인 없이는 중지하기가 거의 불가능합니다. 그리고 RPKI가 플레이하는 곳입니다.
RPKI
RPKI를 디지털 서명으로 생각하십시오. BGP 말하기 라우터는 특정 접두사를 생성할 수 있는 권한이 있는 특정 자율 시스템만 수락한다는 증명을 제공합니다. 기본적으로 RPKI를 사용하면 라우터에서 발행된 BGP 경로 공지사항을 ROA 인증서에 따라 서명하고 유효성을 검사하여 경로가 리소스 홀더에서 오는지, 유효한 경로인지 확인할 수 있습니다.
RPKI가 네트워크에서 활성화된 상태로 ROA와 경로 접두사에 서명하고 잘못된 RPKI 서명이 있는 출처에서 BGP 광고를 삭제합니다. 이는 DDoS, 스팸, 피싱, 데이터 모니터링 등을 포함하여 BGP 납치와 관련된 많은 위협에 대한 예방 조치역할을 합니다.
우리는 인터넷을 더 안전한 곳으로 만들기 위해 우리의 역할을 다하고 있습니다. RPKI에 대해 자세히 알아보려면 ARIN에서 이 설명서를참조하십시오.
일부 통계에 관심이 있다면 NIST의 멋진 RPKI 모니터가있습니다.
내용