URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 43535
[ Назад ]

Исходное сообщение
"OpenNews: Проблемы в BGP названы одной из самых опасных уязвимостей Интернета"

Отправлено opennews , 27-Авг-08 21:43 
На конференции DefCon Тони Капела (Tony Kapela) и Алекс Пилосов (Alex Pilosov) представили доклад (https://www.defcon.org/images/defcon-16/dc16-presentations/d...) о проблемах безопасности протокола BGP, которые можно использовать для нарушения связности пограничных маршрутизаторов в сети и организации атак по перехвату трафика в глобальном масштабе (например, переправить трафик на подставной шлюз, на котором модифицировать определенные IP пакеты и отправлять далее ничего не подозревающему получателю пакета).


Уязвимость использует слабость архитектуры BGP, проявляющуюся в излишне доверительных отношениях между участниками межсетевого взаимодействия. Рассчитывая наиболее оптимальный маршрут, BGP маршрутизатор целиком доверяет информации о пути, полученной от других маршрутизаторов. Внешний BGP маршрутизатор, подконтрольный злоумышленнику, может отправить фиктивные сведения о длине маршрута до определенной автономной системы и инициировать транзит трафика чер...

URL: http://blog.wired.com/27bstroke6/2008/08/revealed-the-in.html
Новость: http://www.opennet.me/opennews/art.shtml?num=17582


Содержание

Сообщения в этом обсуждении
"Проблемы в BGP названы одной из самых опасных уязвимостей Интернета"
Отправлено trdm , 27-Авг-08 22:12 
"Еще в 1998 году Peiter заявил Конгрессу и спецслужбам, что..."
все правильно. спецслужбы тихим сапом намотали на ус и пользуются...

"Проблемы в BGP названы одной из самых опасных уязвимостей Ин..."
Отправлено User294 , 01-Сен-08 16:50 
А через несколько годов, когда на IPv6 подсядут как следует и всерьез, какой-то дятл с помпой расскажет о его проблемах безопасности, коих у него дофига и больше :).Хотя их все обсуждали уже несколько лет назад, воз и ныне там а вот попиариться можно качественно и с помпой :)

"Проблемы в BGP названы одной из самых опасных уязвимостей Интернета"
Отправлено chesnok , 27-Авг-08 22:28 
customer filter

"Проблемы в BGP названы одной из самых опасных уязвимостей Интернета"
Отправлено Andrew Kolchoogin , 28-Авг-08 08:23 
Мнда. Для этого злоумышленнику придется заставить всех транзитников поменять в RIPE DB (или в другой соответствующей DB) Routing Policy, дабы фильтры BGP-анонсов не отправили анонс "атакуемой сети" (C) от "роутера злоумышленника" (C) туда, где ему и положено быть -- в /dev/null :)

Впрочем, если злоумышленник -- Федеральная Служба Безопасности, то он да, он может... Только вот не будет: "товарищ полковник все слушает по специально приходящему к нему кабелю..."


"Проблемы в BGP названы одной из самых опасных уязвимостей Ин..."
Отправлено Ilijaz , 28-Авг-08 11:16 
Вы настолько глупы или не работали с БГП и магистралами?

ТТК например не фильтрует анонсы от своих кастомеров.... Думаем....


"Проблемы в BGP названы одной из самых опасных уязвимостей Ин..."
Отправлено Хм... , 28-Авг-08 12:18 
Если твой роут обджект не соответствует твоей политике то гнать тебя надо подальше от магистральных маршрутизаторов!

"Проблемы в BGP названы одной из самых опасных уязвимостей Ин..."
Отправлено Хм... , 28-Авг-08 12:22 
По поводу ТТК фильтрует еще как фильтрует :)
Если нет то может продемонстрируете?

"Проблемы в BGP названы одной из самых опасных уязвимостей Ин..."
Отправлено Ilijaz , 28-Авг-08 12:43 
>По поводу ТТК фильтрует еще как фильтрует :)
>Если нет то может продемонстрируете?

Ну при получение PA новые адреса заработали без звонка в ТТК )


"Проблемы в BGP названы одной из самых опасных уязвимостей Ин..."
Отправлено Andrew Kolchoogin , 28-Авг-08 12:54 
> Ну при получение PA новые адреса заработали без звонка в ТТК )

И что? Оно на то и PA, что фильтры в ТТК будут пропускать анонсы этих адресов от автономки, их выдававшей, и ото всех ее прямых даунлинков.

Вот с PI и НОВЫМИ allocation'ами ситуация несколько более сложная, но, как правило, у "больших" фильтры раз в сутки перестраиваются автоматически с помощью специальных программ (поищите в Интернете bgpq и посмотрите, что это такое).


"Проблемы в BGP названы одной из самых опасных уязвимостей Ин..."
Отправлено Хм... , 28-Авг-08 14:48 
Большой человек видел только ТТК :)
Большому человеку нада хорошо почитать www.ripe.net там очень много интересного ...

"Проблемы в BGP названы одной из самых опасных уязвимостей Ин..."
Отправлено Хм... , 28-Авг-08 14:51 
Вполне может быть что у ттк автоматом листы обновились еще до того как ты начал чтото анонсить. bgpq как часный случай такого инструмента :)

"Проблемы в BGP названы одной из самых опасных уязвимостей Ин..."
Отправлено Andrew Kolchoogin , 28-Авг-08 12:51 
В отличие от Вас, я неглуп. :) И, в отличие, опять-таки, от Вас, я работал и с BGP, и с магистральными маршрутизаторами. :)

Да, безусловно, есть отморозки. В Турции, например, обитают. Летом 2004 года на три с половиной часа поставили раком весь Интернет. Но остальные после этого случая фильтруют. И еще как фильтруют!

Не потому, что турки не фильтруют. Они правильно ничего не фильтруют. У них routing policy -- "accept any" ото ВСЕХ. ВКЛЮЧАЯ даунлинков.

Но это отморозки. Остальные почти все нормальные.


"Проблемы в BGP названы одной из самых опасных уязвимостей Ин..."
Отправлено ifp5 , 28-Авг-08 21:14 
От кастомеров КТТК как раз фильтрует, правда по AS-PATH, а не по префиксам.

"Проблемы в BGP названы одной из самых опасных уязвимостей Ин..."
Отправлено Andy , 29-Авг-08 11:34 
С чего вы взяли? Буквально неделю назад подключались к ним в тестовом режиме - все как и положено отфильтровали по RIPE

"OpenNews: Проблемы в BGP названы одной из самых опасных уязв..."
Отправлено cae , 28-Авг-08 12:01 
Открытие! Эксперты! Я валяюсь!
Об этой "дыре" знают все, кто хоть раз прочёл Халаби.
Желание проанонсить в мир от себя full-view появляется у первого же "опытного" админа, первый раз настраивающего BGP. Сессии с такими невменяемыми провайдеры гасят быстро. Сразу по рукам и по морде. По наглой рыжей морде ;-)
Понятно, что происходит это не сразу, и есть магистралы (РТ, например), которые не удосуживаются фильтрацией анонсов. Но если клиенту ехать, а не шашечки, то за чужой анонс могут и отключить. Даже без просмотров договоров, пусть потом судится, целостность сети дороже. Да и админ, который умеет BGP, обычно за своей репутацией на рынке труда сильно следит, и сам незаинтересован в.
Ну а есть те магистрали, кто фильтрует. Почти автоматом. Тем вообще эта "дыра" по барабану.

"OpenNews: Проблемы в BGP названы одной из самых опасных уязв..."
Отправлено AdVv , 28-Авг-08 20:32 
>Об этой "дыре" знают все, кто хоть раз прочёл Халаби.

Можно поподробнее что и где почитать ?


"Проблемы в BGP названы одной из самых опасных уязвимостей Интернета"
Отправлено georg , 28-Авг-08 23:03 
Подскажите, а что есть кроме bgpq для автоматического построения фильтров? И кроме IRR-Tollset?

"Проблемы в BGP названы одной из самых опасных уязвимостей Ин..."
Отправлено Хм... , 29-Авг-08 06:51 
>Подскажите, а что есть кроме bgpq для автоматического построения фильтров? И кроме
>IRR-Tollset?

А тебе что этого мало? bgpq практически все умеет :)


"Проблемы в BGP названы одной из самых опасных уязвимостей Ин..."
Отправлено georg , 29-Авг-08 10:34 
Мне не мало, мне хочется узнать, а есть ли ещё что-нибудь?

"Проблемы в BGP названы одной из самых опасных уязвимостей Интернета"
Отправлено АПилосов , 29-Авг-08 18:16 
Мля, никто в тему не вник.

Комментарии:

а) Читайте презентацию или статью в Wired. Мы (не королевское мы, а авторы етой презентации) не говорили что открыли новую дырку - мы указали как просто скрыто експлуатировать ее для мониторинга любого трафика.

б) Нащет ттк: Ессно *все* фильтруют. Как минимум по as-path. Что на самом деле довольно минимально и отчень плохо - т.е. можно очень много поломать, тк можешь анонсировать *все* что угодно. Но для вышеуказаного експлойта ето не подойдет. Если фильтруют по IRR - то очень просто, регистрируешь свой раут в одной из баз IRR которые всеми используются и не фильтруются (напр ARIN или ALTDB), и все твои апстримы берут твой роут.

в) Нащет по наглой рыжей морде: Поверьте, никто не заметил. На NANOG мы анонсировали 1/8 и 0/8 и подобные вещи, и хоть бы что :)

-александр пилосов


"Проблемы в BGP названы одной из самых опасных уязвимостей Интернета"
Отправлено Аноним , 31-Авг-08 06:39 
Да на этом форуме тоже идет обсуждение этой темы, интересно!