zabezpieczenie BGP (Border Gateway Protocol) jest protokołem używanym w Internecie do wymiany informacji o routingu między sieciami. Jest to język używany przez routery w Internecie, aby określić, w jaki sposób pakiety mogą być wysyłane z jednego routera do drugiego, aby dotrzeć do miejsca docelowego. BGP pracował bardzo dobrze i nadal do protokołu be, który sprawia, że Internet działa.,
wyzwaniem dla BGP jest to, że protokół nie zawiera bezpośrednio mechanizmów bezpieczeństwa i opiera się w dużej mierze na zaufaniu między operatorami sieci, że będą prawidłowo zabezpieczać swoje systemy i nie wysyłać nieprawidłowych danych. Zdarzają się jednak błędy i mogą pojawić się problemy, jeśli złośliwi napastnicy spróbują wpłynąć na tabele routingu używane przez BGP.
w tym miejscu mamy nadzieję dostarczyć informacji, które operatorzy sieci muszą zrozumieć, aby zabezpieczyć swoje routery i upewnić się, że wykonują swoją rolę w zakresie bezpieczeństwa i odporności całej infrastruktury routingu internetowego., Nie skupiamy się na konkretnym podejściu, ale raczej przedstawiamy różne podejścia i narzędzia, które są dostępne w celu zabezpieczenia systemów routingu. Doskonałym dokumentem pozwalającym zrozumieć, że skupiamy się na tej sekcji jest RFC 7454, „BGP Operations and Security”.,
podstawy BGP
- RFC7454: BGP Operations and Security
- NIST: Special Publication SP 800-54 – Border Gateway Protocol Security
- Internet Society: Routing Security: Report on 3rd Internet Society Operator Roundtable
- RFC 4271: background information on BGP
PKIs and CAs
istnieje kilka powszechnie stosowane mechanizmy wspierające bezpieczną i prywatną komunikację, ochronę transakcji oraz asertywność i zarządzanie tożsamością., Należą do nich tzw. PKI internetowe powszechnie używane do bezpiecznego przeglądania stron internetowych, które mogą być używane do innych aplikacji, PKI dla poczty elektronicznej, rpki używane przez regionalne rejestry internetowe do sprawdzania posiadaczy zasobów IP oraz DNSSEC, które mogą być używane do sprawdzania zapytań DNS. DANE to nowy protokół, który wykorzystuje DNSSEC, aby umożliwić właścicielom uzyskanie własnych certyfikatów cyfrowych, a tym samym potencjalnie włączyć funkcjonalność PKI Internetu do globalnego DNS.,
Wprowadzenie do PKIs & CAs zawiera przegląd działania tych mechanizmów i ich wdrażania.
Możesz również zapoznać się z różnymi dostępnymi raportami na temat zabezpieczania BGP i zbadać prace prowadzone w IETF w ramach Grupy Roboczej Secure Inter-Domain Routing (SIDR).
obejrzyj nasz blog, aby dowiedzieć się więcej o zabezpieczeniu BGP i jeszcze raz daj nam znać, jak możemy Ci pomóc!
masz sugestie na inne pytania, na które chciałbyś nam odpowiedzieć? Daj nam znać!