Il Border Gateway Protocol (BGP) è il protocollo utilizzato in Internet per lo scambio di informazioni di routing tra le reti. È la lingua parlata dai router su Internet per determinare come i pacchetti possono essere inviati da un router all’altro per raggiungere la loro destinazione finale. BGP ha funzionato molto bene e continua a essere il protocollo che fa funzionare Internet.,
La sfida con BGP è che il protocollo non include direttamente meccanismi di sicurezza e si basa in gran parte sulla fiducia tra gli operatori di rete che proteggeranno correttamente i loro sistemi e non invieranno dati errati. Gli errori accadono, però, e problemi potrebbero sorgere se malintenzionati dovessero cercare di influenzare le tabelle di routing utilizzate da BGP.
Qui, speriamo di fornire le informazioni che gli operatori di rete devono capire per proteggere i loro router e garantire che stiano facendo la loro parte per la sicurezza e la resilienza dell’infrastruttura di routing Internet complessiva., Non ci concentriamo su un approccio specifico, ma piuttosto delineando i diversi approcci e strumenti che sono disponibili per aiutare a proteggere i sistemi di routing. Un ottimo documento per capire la nostra attenzione generale con questa sezione è RFC 7454, “Operazioni BGP e sicurezza”.,
BGP Nozioni di base
- RFC7454: BGP Operazioni e la Sicurezza
- NIST: Pubblicazione Speciale SP 800-54 – Border Gateway Protocol Security
- Internet della Società: Sicurezza di Routing: Report 3 Internet Society Operatore tavola rotonda
- RFC 4271: informazioni di background su BGP
Pki e CAs
Ci sono più comunemente utilizzati meccanismi per il sostegno sicuro e privato, la comunicazione, la protezione di transazione di identità e di affermazione e di gestione., Questi includono il cosiddetto Internet PKI comunemente usato per la navigazione web sicura, ma che può essere utilizzato per altre applicazioni, PKI per la posta elettronica, RPKI utilizzato dai registri Internet regionali per far valere i titolari di risorse IP, e DNSSEC che può essere utilizzato per convalidare le query DNS. DANE è un nuovo protocollo che utilizza DNSSEC per consentire ai proprietari di far valere i propri certificati digitali, e quindi potenzialmente incorporare la funzionalità di Internet PKI nel DNS globale.,
Questa introduzione a PKIs& CAs fornisce una panoramica di come questi meccanismi funzionano e come vengono implementati.
Potresti anche voler leggere i vari report disponibili sulla protezione del BGP ed esplorare il lavoro che si svolge nell’IF all’interno del gruppo di lavoro Secure Inter-Domain Routing (SIDR).
Guarda il nostro blog per le storie relative alla protezione BGP e, ancora una volta, fateci sapere come possiamo aiutarvi!
Hai suggerimenti per altre domande che vorresti vederci rispondere qui? Fatecelo sapere!