Názory k článku Protokol BGP pod útokem
-
Danny (neregistrovaný)Filtrovani rozhodne nesmysl neni, naopak, je to zakladni obrana, je jednoducha a lze ji realizovat na jakemkoliv pouzivanem smerovaci (narozdil od autorem zminovanych "secure" rozsireni, jejich cesta do bezneho zivota bude jeste dlouha) - kdyby lide nebyli lajdaci a lenosi, neni na co utocit. Utok primarne vychazi ze znalosti faktu, ze na patricne filtrovani na hranicich se velmi casto kasle.
Kazdy koncovy ISP muze svou smerovaci politiku presne popsat a jeho upstreamy z techto (verejne pristupnych) informaci slozit patricny vstupni filtr. Tou "magickou" veci je RPSL - Routing Policy Specification Language, na existuje primo RFC2622. Existuji i nastroje, ktere tuto cinnost umoznuji zautomatizovat.
Nekteri upstream provideri toto zdokumentovani primo vyzaduji. -
Vojta (neregistrovaný)Opravdu tento útok univerzálně funguje? "Díky mechanismu pro detekci smyček routery po cestě odmítají cesty šířené útočníkem, protože jejich číslo AS je v těchto cestách obsažené"
Příklad: pokud by cesta zdroj -> útočník a cesta útočník -> cíl vedla byť jen přes jeden společný router, tak tento router má pro určitou cílovou IP jednu optimální cestu. Z toho plyne, že nepošle paket s určitou IP jednou tam a podruhé jinam (k útočníkovi / k cíli). Routuje se přece podle IP adresy, IP rámec v sobě nenese číslo AS.
Proto mám podezření, že závěr originální prezentace "We learned that any arbitrary prefix can be hijacked, without breaking end-to-end" není správný. Umí někdo osvětlit? -
Danny (neregistrovaný)Jen bych ke clanku dodal, ze existuje nastroj pro samotne detekovani takoveho utoku a je skoda, ze zminen explicitne neni, vetsi reklamu by si rozhodne zaslouzil :-)
Nastroj je primo z dilny RIPE, a funguje "automaticky" - konkretne vec s nazvem MyASN - http://www.ris.ripe.net/myasn.html - staci se registrovat, vyplnit potrebna data... a cekat az neco prijde :) Kolektory jsou rozptyleny takrka po celem svete - nejen po evropskem kontinentu (seznam viz http://www.ris.ripe.net/cgi-bin/rrcstatus.cgi), coz zvysuje i samotne sance na zachyceni vzniku problemu.
Samotnemu utoku sice nezabrani, ale administratora pomerne rychle samo upozorni, ze se neco deje - a pokud je zodpovedny, muze na problem obratem reagovat. -
anonymníO těch PI adresách jsem to myslel tak, že moc změn nebývá, takže jakmile se to jednou nastaví funguje to. (prefix-list).
Druhá poznámka, tranzitní neošetřený zákazník je podle mně veliké nebezpečí, může klidně vytížit mezinárodní linky svého providera, takže to je v zájmu obou, mít nastavená pravidla. -
Anonym (neregistrovaný)Přirovnání k youtube a slidy jsou efektní teoretické cvičení. Jenže zatímco útok na DNS teoreticky dokáže provést i Fanda Vopička vodvedle, na takto sofistikovaný útok už jeho možnosti v žádném případě nestačí. Uvědomme si, že útočník musí být v naprosto ideální pozici. Mít 2 providery s BGP peeringem, kdy oba dva nefiltrují, navíc mít potřebou kapacitu linky a pak potřebnou výpočetní sílu pro analýzu protékajících paketů. Tyhle podmínky jsou podle mého hodně limitující. Dokážu si přestavit "providery" typu CIA nebo FSB, že mají technické možnosti toto provést. U ostatních tato situace může vzniknout spíše lidskou blbostí než cíleným zájmem. Což se stalo v Pákistánu.
-
Dobry den!
"Opravdu bych chtěl vidět providera, který nefiltruje své zákazníky."
Doporucuji, abyste se podival na slidy 14, 15 a 17 zminovane prezentance. Uz priklad s unesenim YouTube ukazuje, ze zdaleka ne vsichni filteruji. Castecne s tim souvisi i tyto udaje:
Recent exercises:
– Hijacked 1.0.0.0/8: 90% success
– Hijacked 146.20.0.0/16: 95% success
– Attempted to announce networks longer than /24: from /25 down to /32 with cooperation of large CDN’s. 40% successful overall
Poznamce o PI adresach nerozumim. Podle me to s tematem nesouvisi. -
anonymníOpravdu bych chtěl vidět providera, který nefiltruje své zákazníky. Z komunikace opravdu velkého množství firem vím že, jen v málo které mají opravdu znalého člověka BGP jako kmenového zaměstnance. Většinou si na projekt najímají konzultanty, případně mají nastavenu prioritu své práce někde jinde, což je pochopitelný a k tomuto problému může dojít spíš blbostí než úmyslem.
Nedívím se, že tomu článku někdo neporozumí, když už si dáte práci a nakreslíte pěkné obrázky, tak je v textu vůbec nevyužijete....
např. Díky mechanismu pro detekci smyček routery po cestě odmítají cesty šířené útočníkem, protože jejich číslo AS je v těchto cestách obsažené.
by mělo být přesné: hraniční router v AS4
Apropo PI adresy člověk taky nedostane každý den. Jo a udělat ze zákaznika tranzitní AS to je dobrý vtip, hlavně pro providera, který takového zákazníka připojuje :) -
Ahoj Zbynku,
prave pro to, aby si utocnik sestavil zpetnou cestu k cili, vysila ty specifictejsi prefixy s prependem, ktery obsahuje cisla AS z te zpetne cesty. Mechanismus na detekci smycek pak zajisti, ze tyto BGP informace se do te cesty nedostanou. V tom je prave ta zasadni inovace proti obycejnemu BGP hijackingu. Utocnik a cil muzou byt pomerne "daleko", rozhodne nemusi byt napojeni na stejne ISP. -
ZP (neregistrovaný)A sice jak potom poslat ta data od utocnika k legitimnimu cili. Na to musi mit utocnik minimalne dve konektivity (do jedne posila svuj podvrzeny prefix) a musi mit zajisteno, ze se jeho mensi prefixy do te druhe konektivity nedostanou (ne pres nej, to je trivialni, ale nekudy jinudy), jinak by vznikl klasicky routing leak a diky nemu se na takovy pokus prislo pomerne rychle. Takze k praktickemu pouziti je nezbytne, aby jedna z utocnikovych konektivit byla od stejneho transitniho operatora, jako ma legitimni odesilatel, protoze komunitami ovlivnim distribuci dat u nej, ale jejich pouziti krz nej dal uz je velmi nejiste. Proto je tento utok teoreticky mozny, ale jeho pouzitelnost je omezena a nezbytne predpoklady k jeho provedeni jsou zcela mimo moznosti 99.99999% utocniku.
No a kazdopadne idealni zpusob, jak tomuto problemu zabranit, je neresit jej, ale resit, aby ta data pripadnemu utocnikovi vubec k nicemu nebyla, pak tento utok sice bude mozny, ale nikdo nebude mit duvod to delat. -
Dobry den,
nikdo Vam nezaruci, ze Vas Vas ISP neodposlouchava. Nicmene zrovna v ceskem prostredi je situace takova, ze by se pripadne manipulace s daty velmi rychle rozkecala a mam dojem, ze clenum/majitelum toho uzlu by se to vubec nelibilo. Proto muzeme byt klidni. Stejne tak sledovani zapovidaji zakony.
Pri odposlouchavani musite VZDY znat, kdo s kym komunikuje. Stejne tak musite mit vzdy dostatecnou trubku. Take skoro vzdy musite vedet dostatecne predem, jaky provoz Vas zajima.
Vy jste si skutecne vedom toho, ze Vas tranzitni ISP poslusne odroutuje vsechno, co mu posilate? Filtrovani podle prefixu zakazniku je jednou z mala best current practices, ktera odlisuje dobreho tranzitniho ISP od spatneho. Chapu, ze nefiltruji ISP v Pakistanu (pripad YouTube), ale v kontextu stredni Evropy by mel slusny tranzitni ISP rozhodne filtrovat. Moji tranzitni ISP se me zatim vzdy zeptali, jake prefixy maji propagovat.
Muzete prosim napsat, kteri tranzitni ISP v CR dle Vaseho nazoru nefiltruji? Takova informace jiste pomuze celemu trhu.
Samozrejme, Pepika odvedle muzou nechat dusledky tohoto clanku chladnymi. Nicmene na Pepikovi odvedle nestoji stabilita regionalniho Internetu.
Zdravi
MK -
RaStr (neregistrovaný)Problem, je v tom, ze ve Vami popisovane situaci nemohl utocnik na jim ovladanem routeru (nebo obecne uzlu site) zachytit cokoliv si zamanul, mohl pouze monitorovat provoz, ktery pres jeho zarizeni sam od sebe prochazi bez moznosti toto nejak ovlivnit. Zmineny utok vsak umoznuje komukoliv kdo ma vlastni AS a siri sve routovaci informace pres BGP, presmerovat k sobe data jakekoliv obeti, cili vest naprosto cileny utok a to je urcite mnohem nebezpecnejsi nez jen nahodny odposlech prochazejicich dat. Nicmene mate pravdu, ze spolehat se na privatnost nesifrovanych dat zasilanych Internetem by se nemel nikdo a nikdy i bez tohoto utoku.
-
z (neregistrovaný)Jiste, da se timto zpusobem presmerovat komunikace pres stroj, ktery mam pod kontrolou a tim padem se daji data ruzne zpracovavat bez toho, aby to koncove uzly vedely. Ale to stale nic nemeni na tom, ze to neni ani tak problem routovani, jako predevsim problem zabezpeceni komunikace a dat.
Kdo mi zaruci, ze me neodposlouchava muj ISP ? Kdo mi zaruci, ze nekdo na nejakem routeru cestou nedela s mou komunikaci neco nekaleho ? Specialne pri strukture ceskeho internetu kde temer veskera data jsou pres jediny uzel staci ovladat prave ten.
Navic tento utok pokud dobre chapu potrebuje relativne zasadni podminky. Musim znat kdo s kym komunikuje a musi jit o komunikaci trvalejsiho razu, protoze dostat do systemu sve routy neni na 5s. V neposledni rade musim mit dostatecnou konektivitu aby se routovani pres muj stroj neukazalo nejak extremne na odezvach ....
---
Filtrovani je nesmysl samo o sobe, ISP vi obecne prd o tom, jake rozsahy ma jeho klient, specialne v pripadech, kdy je klient pripojen vice smery a pouziva vice rozsahu. -
Gratuluju!
Ja jako neznaly clovek jsem se zasekl hned u prvniho obrazku, ktery jsem nepochopil, a u dalsich obrazku ani neni nikde naznaceno, kdo je utocnik a kdo obet, ani to neni vysvetleno v textu. Takze clanek mi nic nedal.
Jen z toho tusim, ze internet je nejaky nebezpecny, ale to jsem vedel uz davno. -
Milan (neregistrovaný)No já nevím, ale procházející nekryptovanou komunikaci vždy viděl každý správce jakéhokoliv routeru po cestě, no tak to vidí ještě někdo další - no a co, kde je ten problém?
Všichni víme, že normální mail je jako pohlednice, kdo to dostane do ruky, tak si to přečte. Pokud to nechceme, šifrujeme...
ČLÁNKY DO MAILU