Comments
Всё хорошо, конечно. Но как hijacker получит валидный SSL сертификат для доменного имени поддельного хоста?
Анонсирует на себя подсеть, в которой находится резолвящийся по этому доменному имени IP-адрес, поднимет у себя HTTP-сервер и запросит у условного Let's Encrypt сертификат с проверкой по HTTP. Этот самый Let's Encrypt, впрочем, либо уже ввёл, либо собирается вводить защиту от этого в виде проверки из нескольких не связанных между собой локаций.
Ага, то есть всё упирается в вопрос доверия issuer'у и в веру в то, что у него «всё схвачено» в вопросах безопасности. Спасибо, вроде бы понял.
Толк от rpki будет только тогда, когда все его начнут использовать, а это врятли случится в ближайшее время.
Это очень похоже на реплику админа/нач.НОК/тех.дира которому очень лень это внедрять. Остальные внедряют и начинают получать толк. Да собственно все мало-мальски магистральные операторы уже поддерживают RPKI.
Тоже самое можно сказать и о SPF, DMARC и других сетевых инициативах. Распределенность Интернет именно диктует распределенные решения, когда все договариваются играть в одну игру по общим правилам. И ничего, сейчас почтовый домен без поддержки SPF и DMARC встретить уже практически невозможно, а если и есть, то почту из него может послать очень немногим.
А как IPv4-провайдера протестировать, если имеется Ipv6-линк?

Your ISP (Hurricane Electric, AS6939) does not implement BGP safely. It should be using RPKI to protect the Internet from BGP hijacks.


При этом Hurricane Electric пишет, что RPKI Support — если использовать тоннель по BGP, как я понял… Странно.

Безопасный в кавычках?
Насколько я понял не особо полезная штука от хакеров. Защищает только от совсем случайной ошибки (или сильно крупные сети, которые пирятся со всеми). Валидируется только origin (что данная AS может анонсить данный маршрут). Путь никак не валидируется и не защищается. Хаки типа вырезания своей AS из машрута остаются актуальными.
С точки зрения злоумышленика — что мешает хакеру анонсить маршрут через свою AS? Похоже что ничего

С точки зрения злоумышленика — что мешает хакеру анонсить маршрут через свою AS? Похоже что ничего

Ему мешает делать это export policy. И вообще для конечных клиентов — это 95% только белый список сетей.

Насколько я понял не особо полезная штука от хакеров.

Она не совсем про хакеров. Есть граждане, которые договариваются со своими аплинками (мамой клянусь есть разрешениям использовать сеть) на анонс сети, те отправлять маршрут транзитам и спокойно работает. При RPKI это все обрезается на точках обмена и у некоторых транзитах.

Ему мешает делать это export policy.

Эта та, которая описывает какой as-set он может анонсить? Так а что мешает ему в этот as-set добавить нужную AS? Она же принадлежит ему. А рекурсивно вроде также не проверяется. (поправьте если это не так).


И вообще для конечных клиентов — это 95% только белый список сетей.

Не всегда. Тот же hurican electric не проверяет. В сетях обмена трафиком тоже не всегда.


Для чего нужен RKPI вполне понятно. Чтобы роут-объект в том же ripedb был гарантировано изначально анонсирован той AS которая указана в БД. И да, RKPI нужен. Но он не обеспечивает безопасность. Говорить что RKPI = безопасность и защита от hijack — вешать лапшу на уши.
Мое личное мнение — RPKI решение по духу из двухтысячных годов. Сейчас могли бы сделать решение с проверкой пути анонса.


upd: Наверное погорячился, защита от hijack роут-объектов есть. То есть гвоздями прибито соответствия маршрута и AS. И чтобы что-то поломать случайно (как часто и происходит) надо очень постараться.

Эта та, которая описывает какой as-set он может анонсить? Так а что мешает ему в этот as-set добавить нужную AS? Она же принадлежит ему. А рекурсивно вроде также не проверяется. (поправьте если это не так).


habr.com/ru/post/442784

Это теоретическая статья, без фактов реализации на практике.

На практике это выглядит следующим образом:

AS100 — Легитивная
export: to AS-UP-LINK announce AS-SET-100

AS-SET-100
member: AS100
member: AS101 — client AS100

AS666 — Наш хакер
export: to AS-UP-LINK-HACKER announce AS-SET-666
member: AS666
member: AS100
member: AS101

Как видно из примере, хакер хочет добавить в свой транзит AS100 и AS101. Но будет ли работать? Конечно нет, ему нужно добавлять AS666 в «AS-SET-100» и еще каким-то образом прописать свой аплинк в export policy AS100. Права на редактирование есть только у AS-100 MNT.

А рекурсивно вроде также не проверяется.

Еще как и проверяется. Ждать маршрут на вашу АС будут только от ваших export аплинков, т.е. от AS-UP-LINK

Не всегда. Тот же hurican electric не проверяет. В сетях обмена трафиком тоже не всегда.

В своей политике они пишут другое

Мое личное мнение — RPKI решение по духу из двухтысячных годов. Сейчас могли бы сделать решение с проверкой пути анонса.


Дело не в RPKI, а в том, что транзиты принимаю все, что в них пихают без проверки. RPKI делает это довольно быстро и унифицировано со всеми RIR сразу и вам не нужно парсить разные базы.

Проверка пути анонса давно реализована, ее просто не делают.

Реализовать атаку на BGP можно только в сговоре с оператором, который имеет не фильтруемые аплинки (те он может пихать туда все что хочет). Обычно это операторы не маленькие, а средние и большие. И решение простое — начать просто проверять.
Еще как и проверяется. Ждать маршрут на вашу АС будут только от ваших export аплинков, т.е. от AS-UP-LINK

Не уверен что проверяется рекурсивно а не слепо поверит содержимому твоего export, но спорить не буду.


Проверка пути анонса давно реализована, ее просто не делают.

А разве export/import policy обязательны? Вроде только в ripe все относительно неплохо организовано. Вот не из ripe. Первая попавшаяся крупная AS701. Не нашел там никаких политик.


Также смотрю на маршруты которые она анонсит и не могу найти роут-объектов и какая AS должна их анонсить. 63.48.0.0/12


Как в таких условиях что-то валидировать мне абсолютно непонятно.

Первая попавшаяся крупная AS701. Не нашел там никаких политик.

Это магистральный оператор и вот к чему приводит его политика.

Интернет построен на доверии и сейчас есть провайдеры которые настраивают политики, используют фильтры. А есть и другие. Все как и пользователи — некоторые скачивают и запускают, что хотят. Другие включают голову и используют антивирус.

Так ведь проблема в том что эти самые другие ломают большую часть усилий тех кому не пофигу. Атака со включением AS жертвы в свой анонс будет успешно проведена через сети аналогичные AS701. И подобных AS немало, т.к. наткнулся еще на пару штук бездумчиво переходя по записям в apnic.

Only those users with full accounts are able to leave comments. Log in, please.