Názory k článku
Protokol BGP pod útokem

Clanek jak za starych dob. K veci, popisuje aktualni problem, bez vecnych chyb a pritom by mel byt pochopitelny vetsine ctenaru.

Vas je v tech funkcich skoda :-)

Copak to zas NSA po letech odtajnila ?

NSA? Ta BGP je otevrenym strandardem a tohle chovani je v nem (bohuzel) by design ...

Přidávám se k pochvale. Kdysi byly na Lupě takové články skoro všechny, teď je tu jeden exemplář za rok.

+1

Taky děkuji autorovi, tenhle článek je nejlpeší za několik posledních měsíců...

A zajímavý postřeh: pod kvalitně napsaným článkem se vytvořila i věcná diskuze o faktech, a najednou je tu příjemněji :)

Paradne se to cetlo... i clovek ne uplne znaly problemu to pochopi :) autorovi by meli zvednout honorar!

Dekuji

Zelený je hodný (oběť), červený je zlý (útočník).

Ty čárky mezi jsou ve zjednodušené formě BGP informace, které si předávají jednotlivé směrovače mezi sebou.

Já to pochopil. A to je u mně a takových lowlevel síťových témat co říct.

Děkuji autorům za pěkný článek.

No já nevím, ale procházející nekryptovanou komunikaci vždy viděl každý správce jakéhokoliv routeru po cestě, no tak to vidí ještě někdo další - no a co, kde je ten problém?
Všichni víme, že normální mail je jako pohlednice, kdo to dostane do ruky, tak si to přečte. Pokud to nechceme, šifrujeme...

Timto zpusobem se Vas router stane "routerem v ceste" i kdyz je spojeni vedeno kolem sveta.

Jiste, da se timto zpusobem presmerovat komunikace pres stroj, ktery mam pod kontrolou a tim padem se daji data ruzne zpracovavat bez toho, aby to koncove uzly vedely. Ale to stale nic nemeni na tom, ze to neni ani tak problem routovani, jako predevsim problem zabezpeceni komunikace a dat.

Kdo mi zaruci, ze me neodposlouchava muj ISP ? Kdo mi zaruci, ze nekdo na nejakem routeru cestou nedela s mou komunikaci neco nekaleho ? Specialne pri strukture ceskeho internetu kde temer veskera data jsou pres jediny uzel staci ovladat prave ten.

Navic tento utok pokud dobre chapu potrebuje relativne zasadni podminky. Musim znat kdo s kym komunikuje a musi jit o komunikaci trvalejsiho razu, protoze dostat do systemu sve routy neni na 5s. V neposledni rade musim mit dostatecnou konektivitu aby se routovani pres muj stroj neukazalo nejak extremne na odezvach ....

---
Filtrovani je nesmysl samo o sobe, ISP vi obecne prd o tom, jake rozsahy ma jeho klient, specialne v pripadech, kdy je klient pripojen vice smery a pouziva vice rozsahu.

takze jedina obrana je, zpropagovat celou sit po /24 blocich. protoze vsichni Tier1 operatori mensi site nepusti.

Co na to reknou RAM paternich smerovacu?

to je jednoduche, buffer overflow a bum :D
A internet je jednou pro vzdy zabezpecen :)))

Dobry den,
nikdo Vam nezaruci, ze Vas Vas ISP neodposlouchava. Nicmene zrovna v ceskem prostredi je situace takova, ze by se pripadne manipulace s daty velmi rychle rozkecala a mam dojem, ze clenum/majitelum toho uzlu by se to vubec nelibilo. Proto muzeme byt klidni. Stejne tak sledovani zapovidaji zakony.

Pri odposlouchavani musite VZDY znat, kdo s kym komunikuje. Stejne tak musite mit vzdy dostatecnou trubku. Take skoro vzdy musite vedet dostatecne predem, jaky provoz Vas zajima.

Vy jste si skutecne vedom toho, ze Vas tranzitni ISP poslusne odroutuje vsechno, co mu posilate? Filtrovani podle prefixu zakazniku je jednou z mala best current practices, ktera odlisuje dobreho tranzitniho ISP od spatneho. Chapu, ze nefiltruji ISP v Pakistanu (pripad YouTube), ale v kontextu stredni Evropy by mel slusny tranzitni ISP rozhodne filtrovat. Moji tranzitni ISP se me zatim vzdy zeptali, jake prefixy maji propagovat.

Muzete prosim napsat, kteri tranzitni ISP v CR dle Vaseho nazoru nefiltruji? Takova informace jiste pomuze celemu trhu.

Samozrejme, Pepika odvedle muzou nechat dusledky tohoto clanku chladnymi. Nicmene na Pepikovi odvedle nestoji stabilita regionalniho Internetu.

Zdravi
MK

Filtrovani rozhodne nesmysl neni, naopak, je to zakladni obrana, je jednoducha a lze ji realizovat na jakemkoliv pouzivanem smerovaci (narozdil od autorem zminovanych "secure" rozsireni, jejich cesta do bezneho zivota bude jeste dlouha) - kdyby lide nebyli lajdaci a lenosi, neni na co utocit. Utok primarne vychazi ze znalosti faktu, ze na patricne filtrovani na hranicich se velmi casto kasle.

Kazdy koncovy ISP muze svou smerovaci politiku presne popsat a jeho upstreamy z techto (verejne pristupnych) informaci slozit patricny vstupni filtr. Tou "magickou" veci je RPSL - Routing Policy Specification Language, na existuje primo RFC2622. Existuji i nastroje, ktere tuto cinnost umoznuji zautomatizovat.
Nekteri upstream provideri toto zdokumentovani primo vyzaduji.

Problem, je v tom, ze ve Vami popisovane situaci nemohl utocnik na jim ovladanem routeru (nebo obecne uzlu site) zachytit cokoliv si zamanul, mohl pouze monitorovat provoz, ktery pres jeho zarizeni sam od sebe prochazi bez moznosti toto nejak ovlivnit. Zmineny utok vsak umoznuje komukoliv kdo ma vlastni AS a siri sve routovaci informace pres BGP, presmerovat k sobe data jakekoliv obeti, cili vest naprosto cileny utok a to je urcite mnohem nebezpecnejsi nez jen nahodny odposlech prochazejicich dat. Nicmene mate pravdu, ze spolehat se na privatnost nesifrovanych dat zasilanych Internetem by se nemel nikdo a nikdy i bez tohoto utoku.

TCP má takovou vlastnost, že kdokoli vidí nějaký packet spojení, může obsah celého spojení i modifikovat. Čili mezi odposloucháváním a modifikací není rozdíl.

Není pravdou. Záleží, jestli vidí originál nebo kopii. Pokud vidí kopii, tak už originál dávno třeba dosáhl cíle.

A sice jak potom poslat ta data od utocnika k legitimnimu cili. Na to musi mit utocnik minimalne dve konektivity (do jedne posila svuj podvrzeny prefix) a musi mit zajisteno, ze se jeho mensi prefixy do te druhe konektivity nedostanou (ne pres nej, to je trivialni, ale nekudy jinudy), jinak by vznikl klasicky routing leak a diky nemu se na takovy pokus prislo pomerne rychle. Takze k praktickemu pouziti je nezbytne, aby jedna z utocnikovych konektivit byla od stejneho transitniho operatora, jako ma legitimni odesilatel, protoze komunitami ovlivnim distribuci dat u nej, ale jejich pouziti krz nej dal uz je velmi nejiste. Proto je tento utok teoreticky mozny, ale jeho pouzitelnost je omezena a nezbytne predpoklady k jeho provedeni jsou zcela mimo moznosti 99.99999% utocniku.

No a kazdopadne idealni zpusob, jak tomuto problemu zabranit, je neresit jej, ale resit, aby ta data pripadnemu utocnikovi vubec k nicemu nebyla, pak tento utok sice bude mozny, ale nikdo nebude mit duvod to delat.

Ahoj Zbynku,
prave pro to, aby si utocnik sestavil zpetnou cestu k cili, vysila ty specifictejsi prefixy s prependem, ktery obsahuje cisla AS z te zpetne cesty. Mechanismus na detekci smycek pak zajisti, ze tyto BGP informace se do te cesty nedostanou. V tom je prave ta zasadni inovace proti obycejnemu BGP hijackingu. Utocnik a cil muzou byt pomerne "daleko", rozhodne nemusi byt napojeni na stejne ISP.

Vyborny clanek, dokonce i diskuze (zatim) k tematu ...
Pripadam si jak na caste casem do starych casu :-)

Dobry den!

"Opravdu bych chtěl vidět providera, který nefiltruje své zákazníky."

Doporucuji, abyste se podival na slidy 14, 15 a 17 zminovane prezentance. Uz priklad s unesenim YouTube ukazuje, ze zdaleka ne vsichni filteruji. Castecne s tim souvisi i tyto udaje:

Recent exercises:
– Hijacked 1.0.0.0/8: 90% success
– Hijacked 146.20.0.0/16: 95% success
– Attempted to announce networks longer than /24: from /25 down to /32 with cooperation of large CDN’s. 40% successful overall

Poznamce o PI adresach nerozumim. Podle me to s tematem nesouvisi.

Přirovnání k youtube a slidy jsou efektní teoretické cvičení. Jenže zatímco útok na DNS teoreticky dokáže provést i Fanda Vopička vodvedle, na takto sofistikovaný útok už jeho možnosti v žádném případě nestačí. Uvědomme si, že útočník musí být v naprosto ideální pozici. Mít 2 providery s BGP peeringem, kdy oba dva nefiltrují, navíc mít potřebou kapacitu linky a pak potřebnou výpočetní sílu pro analýzu protékajících paketů. Tyhle podmínky jsou podle mého hodně limitující. Dokážu si přestavit "providery" typu CIA nebo FSB, že mají technické možnosti toto provést. U ostatních tato situace může vzniknout spíše lidskou blbostí než cíleným zájmem. Což se stalo v Pákistánu.

Jen bych ke clanku dodal, ze existuje nastroj pro samotne detekovani takoveho utoku a je skoda, ze zminen explicitne neni, vetsi reklamu by si rozhodne zaslouzil :-)

Nastroj je primo z dilny RIPE, a funguje "automaticky" - konkretne vec s nazvem MyASN - http://www.ris.ripe.net/myasn.html - staci se registrovat, vyplnit potrebna data... a cekat az neco prijde :) Kolektory jsou rozptyleny takrka po celem svete - nejen po evropskem kontinentu (seznam viz http://www.ris.ripe.net/cgi-bin/rrcstatus.cgi), coz zvysuje i samotne sance na zachyceni vzniku problemu.
Samotnemu utoku sice nezabrani, ale administratora pomerne rychle samo upozorni, ze se neco deje - a pokud je zodpovedny, muze na problem obratem reagovat.

Ano, a kdo z pritomnych odpovednych osob toto nepouziva, at se tyden cervena a mezi tim tech 20 kliku provede...

Opravdu tento útok univerzálně funguje? "Díky mechanismu pro detekci smyček routery po cestě odmítají cesty šířené útočníkem, protože jejich číslo AS je v těchto cestách obsažené"

Příklad: pokud by cesta zdroj -> útočník a cesta útočník -> cíl vedla byť jen přes jeden společný router, tak tento router má pro určitou cílovou IP jednu optimální cestu. Z toho plyne, že nepošle paket s určitou IP jednou tam a podruhé jinam (k útočníkovi / k cíli). Routuje se přece podle IP adresy, IP rámec v sobě nenese číslo AS.

Proto mám podezření, že závěr originální prezentace "We learned that any arbitrary prefix can be hijacked, without breaking end-to-end" není správný. Umí někdo osvětlit?

Pres spolecny router to jit nesmi (resp. muze, pokud je to pokazde v jine vrf), ale to neni takovy problem, ony obvykle ruzne paterni site spolecne routery nemivaji ;-)