Zabezpieczanie

Co można zrobić, żeby powstrzymać ataki? Organizacja IETF(Internet Engineering Task Force) podjęła dwie inicjatywy (RPSL oraz SIDR), aby załatać BGP. Jednak obie doświadczyły problemów, które wstrzymały ich sukces.

W 1995 r. IETF powołała grupę roboczą Routing Policy System, która zajęła się standaryzacją języka Routing Policy Specification Language (RPSL) oraz modelem jego bezpieczeństwa (RP-SEC). RPLS działa według następującego schematu. Operatorzy sieci oraz korporacje rejestrują autoryzowane przez siebie trasy - na zasadzie łańcucha zaufania zainicjowanego przez Internet Assigned Numbers Authority. Rejestracja polega na wymianie informacji o autoryzowanych trasach między sąsiadującymi systemami autonomicznymi. Dane uwierzytelniające są sprawdzane w momencie rejestracji. Uczestnicy tej grupy roboczej stworzyli z czasem narzędzie, które odczytywało specyfikację zweryfikowanych reguł, a następnie generowało konfigurację dla routera, która powinna być odporna na tego typu ataki.

Zobacz również:

• Netgear wkracza z Wi-Fi 7 dla klientów biznesowych

Niestety, z dwóch powodów popularność RPSL była bardzo ograniczona. Po pierwsze, rejestracja reguł musiała osiągnąć pewną masę krytyczną, aby rozwiązania zaczęło przynosić korzyści. Firmy, które jako pierwsze zdecydowały się na używanie RPSL czerpały z tego niewielkie korzyści. Po drugie, wdrożenie RPSL dla operatorów sieciowych było poważną trudnością od strony operacyjnej, ponieważ reguły routingu często się zmieniały z uwagi na dużą liczbę tras BGP. Dlatego niewielu ISP w Stanach Zjednoczonych zdecydowało się na wdrożenie tego systemu. Natomiast w Europie RPSL był znacznie częściej stosowany.

SIDR

Kolejna grupa robocza o nazwie Secure Inter-Domain Routing (SIDR) powołana przez IETF otrzymała zadanie opracowania mechanizmu, który sprawdzałby poświadczenia na bieżąco, w momencie gdy dochodziłoby do zmian tras BGP (BGPSEC). Niestety ta technologia nie rozwiązywała adekwatnie problemu. Wynika to z trzech powodów:

• do szyfrowania wymaga dużej mocy obliczeniowej, którą nie dysponują dzisiejszej routery;
• nie chroni przed ataki typu man-in-the-middle BGP, a tylko przed starszymi formami ataków;
• nie rozwiązuje też problemów, które sprawiły, że RPSL nie wszedł do powszechnego użycia.

Dobra wiadomość jest taka, że sieci używające SIDR są lepiej chronione: żaden z ich klientów nie może dokonać wrogiej modyfikacji tras. W ten sposób operator sieci może zapewnić, że przynajmniej jego klienci będą zawsze mogli komunikować się między sobą. Jest nadzieja, że rosnąca liczba ataków sprawi, iż więcej operatorów sieciowych zacznie stosować RPSL oraz SIDR.