С 14 по 20 июля 2018 года в Монреале проходила конференция The Internet Engineering Task Force (IETF), в очередной раз собравшая множество представителей профессионального сообщества, влияющих на эволюцию архитектуры интернета и его функционирование.
Александр Азимов, сетевой архитектор Qrator Labs, представил два новых черновика стандартов, которые могут дать возможность операторам связи верифицировать атрибут AS_PATH протокола BGP. Целью этой работы является повышение защищённости протокола от BGP аномалий, являющихся как результатом ошибок, так и злонамеренного перехвата трафика (атаки Man-in-the-middle).
BGP (Border Gateway Protocol) – это базовый протокол сети Интернет, с помощью которого взаимодействуют между собой операторы связи. Поскольку в BGP отсутствуют встроенные механизмы верификации полученных маршрутов, появляются связанные с этим ошибки и атаки: утечки маршрутов и угоны сетей. В последнее время протокол становится все больше популярен как способ проведения атак: перехват трафика при помощи BGP позволяет легко перенаправлять пользователей на фишинговые сайты, тем самым получая доступ к логинам, паролям и другим типам пользовательских данных.
Предполагалось, что решением данной проблемы станет BGPsec – расширение протокола BGP, добавляющие пошаговые криптографические подписи для наиболее важных атрибутов BGP. Однако технология BGPsec оказалась настолько вычислистельно дорогой, что ни один оператор связи в мире ее не поддерживает. Более того, отсутствует активная работа со стороны поставщиков оборудования, что говорит о незаинтересованности операторов связи во внедрении этой технологии и в дальнейшем. Усугубляет ситуацию обратная совместимость со “старым” BGP, которая становится уязвимым местом всей системы: BGPSec гарантирует защиту от BGP аномалий только при условии, что атакующий согласится его поддерживать.
Qrator Labs предлагает заменить строгую криптографическую валидацию BGPsec реализованной внутри протокола внешней функцией верификации атрибута AS_PATH, работающей с использованием нового RPKI объекта.
RPKI (Resource Public Key Infrastructure) — иерархическая система открытых ключей (PKI) разработанная для авторизации, распространения и валидации объектов, относящихся к глобальной маршрутизации в интернете. RPKI позволяет операторам связи регистрировать свои и собирать чужие объекты с возможностью валидации источника информации. На данный момент существует один объект ROA — Route Origin Authorization, с помощью которого операторы могут описывать анонсируемые ими сети. Данный объект используется для фильтрации некоторых типов BGP аномалий.
С помощью нового RPKI-объекта ASPA (Autonomous System Provider Authorization) операторы связи смогут регистрировать своих вышестоящих поставщиков, позволяя другим операторам проверять корректность атрибута AS_PATH в маршрутах, получаемых от клиентов и пиринг партнеров. Таким образом, даже при частичном внедрении, атакующий лишится возможности сконструировать сообщение BGP, которое будет валидным относительно записей ASPA.
«Лучшее враг — хорошего, и BGP оказался не исключением. Идеальным математическим моделям не всегда находится место в реальном мире, где битва идет не только с атакующими, но и с CAPEX/OPEX. Технология, представленная нашей командой на конференции IETF, получилась куда более легковесной, чем ее предыдущие аналоги, поскольку не требует изменения самого протокола BGP. При этом она позволяет решить 99% проблем с BGP аномалиями. Наше предложение нашло отклик и со стороны операторов связи, и со стороны регистраторов, но в любом случае пройдет еще несколько лет, прежде чем эта технология начнет внедряться на уровне операторов связи», – комментирует Александр Азимов, сетевой архитектор Qrator Labs.
«Qrator Labs уже не первый год принимает активное участие в работе международной организации IETF, и представление профессиональному сообществу принципиально новой технологии для решения проблем безопасности одного из главных протоколов интернета стало значимым достижением для нашей команды. Наш проект поддержали именитые и опытные специалисты, посвятившие много лет развитию и поддержке сети и интернет-инфраструктуры, совместно с которыми мы продолжим работу над созданием нового сетевого стандарта, необходимого для обеспечения эффективной работы современных сетей», – отмечает Александр Лямин, основатель и генеральный директор Qrator Labs.
Авторами новых черновиков стандартов стала интернациональная группа, состоящая из Александра Азимова, Евгения Ускова, Евгения Богомазова из Qrator Labs, Ренди Буша из “Интернет Инициатив Японии”, Кейра Патела из компании Arccus, Йоба Снайдерса из NTT Communications и Русс Хусли из Vigil Security.