el protocolo Border Gateway (BGP) es el protocolo utilizado en Internet para intercambiar información de enrutamiento entre redes. Es el lenguaje hablado por los enrutadores en Internet para determinar cómo se pueden enviar paquetes de un enrutador a otro para llegar a su destino final. BGP ha funcionado extremadamente bien y continúa siendo el protocolo que hace que Internet funcione.,
el desafío con BGP es que el protocolo no incluye directamente mecanismos de seguridad y se basa en gran medida en la confianza entre los operadores de red de que protegerán sus sistemas correctamente y no enviarán datos incorrectos. Sin embargo, ocurren errores y podrían surgir problemas si los atacantes maliciosos intentaran afectar las tablas de enrutamiento utilizadas por BGP.
aquí, esperamos proporcionar la información que los operadores de red necesitan comprender para proteger sus enrutadores y garantizar que están haciendo su parte para la seguridad y la resiliencia de la infraestructura general de enrutamiento de Internet., No nos centramos en un enfoque específico, sino que describimos los diferentes enfoques y herramientas que están disponibles para ayudar a proteger sus sistemas de enrutamiento. Un gran documento para entender nuestro enfoque general con esta sección es el RFC 7454, «operaciones y seguridad de BGP».,
BGP Basics
- RFC7454: BGP Operations and Security
- NIST: Special Publication SP 800-54 – Border Gateway Protocol Security
- Internet Society: Routing Security: Report on 3rd Internet Society Operator Roundtable
- RFC 4271: background information on BGP
Pkis and CAs
hay varios mecanismos comúnmente utilizados para apoyar la comunicación segura y privada, la protección de las transacciones y la afirmación y gestión de la identidad., Estos incluyen la llamada PKI de Internet que se usa comúnmente para la navegación segura en la web, pero que se puede usar para otras aplicaciones, la PKI para el correo electrónico, la RPKI utilizada por los Registros Regionales de Internet para afirmar los titulares de recursos IP, y la DNSSEC que se puede usar para validar las consultas DNS. DANE es un nuevo protocolo que utiliza DNSSEC para permitir a los propietarios afirmar sus propios certificados digitales, y por lo tanto incorporar potencialmente la funcionalidad de la PKI de Internet en el DNS global.,
esta introducción a Pkis & CAs proporciona una visión general de cómo funcionan estos mecanismos y cómo se implementan.
también es posible que desee leer los diversos informes disponibles sobre la seguridad de BGP y explorar el trabajo que está sucediendo en el IETF dentro del grupo de trabajo de enrutamiento seguro entre dominios (SIDR).
vea nuestro blog para obtener historias relacionadas con la seguridad de BGP y, de nuevo, ¡háganos saber cómo podemos ayudarlo!
Tiene sugerencias para otras preguntas que le gustaría vernos respuesta aquí? Por favor, háganoslo saber!