Cloudflare запустил сервис для отслеживания фильтрации некорректных маршрутов BGP
Компания Cloudflare ввела в строй сайт isBGPSafeYet.com, призванный привлечь внимание к проблеме с утечкой некорректных BGP-маршрутов и возможности совершения атак по перенаправлению трафика при помощи протокола BGP. Сайт позволяет проверить применение провайдерами технологии фильтрации некорректных маршрутов и оценить внедрение поддержки RPKI.
Многие операторы остаются незащищёнными от поступления BGP-анонсов подсетей с фиктивными сведениями о длине маршрута, направляющими транзитный трафик через сторонних провайдеров. Всё чаще всплывают случаи использования BGP для атак, в ходе которых злоумышленники путём компрометации инфраструктуры провайдеров организуют перенаправление и перехват трафика для подмены конкретных сайтов через организацию MiTM-атаки для замены ответов DNS.
Решением проблемы является внедрение системы авторизации BGP-анонсов на основе RPKI (Resource Public Key Infrastructure), позволяющей определить исходит ли BGP-анонс от владельца сети или нет. При использовании RPKI для автономных систем и IP-адресов строится цепочка доверия от IANA к региональным регистраторам (RIRs), а затем к провайдерам (LIR) и конечным потребителям, которая позволяет третьим лицам удостовериться, что операция с ресурсом была произведена его владельцем. К сожалению, несмотря на проблемы, RPKI пока не применяется большей частью провайдеров. Новый сервис Cloudflare позволяет отследить проблемных операторов и привлечь к ним общественное внимание.
Источник: http://www.opennet.ru/opennews/art.shtml? num=52757
© OpenNet
