Das Border Gateway Protocol (BGP) ist das Protokoll, das im gesamten Internet zum Austausch von Routing-Informationen zwischen Netzwerken verwendet wird. Es ist die Sprache, die von Routern im Internet gesprochen wird, um zu bestimmen, wie Pakete von einem Router an einen anderen gesendet werden können, um ihr endgültiges Ziel zu erreichen. BGP hat sehr gut funktioniert und ist weiterhin das einzige Protokoll, das das Internet funktioniert.,
Die Herausforderung bei BGP besteht darin, dass das Protokoll keine direkten Sicherheitsmechanismen enthält und weitgehend auf dem Vertrauen zwischen Netzbetreibern beruht, dass sie ihre Systeme korrekt sichern und keine falschen Daten senden. Es treten jedoch Fehler auf, und es können Probleme auftreten, wenn böswillige Angreifer versuchen, die von BGP verwendeten Routingtabellen zu beeinflussen.
Hier hoffen wir, die Informationen bereitzustellen, die Netzbetreiber verstehen müssen, um ihre Router zu sichern und sicherzustellen, dass sie ihren Teil zur Sicherheit und Ausfallsicherheit der gesamten Internet-Routing-Infrastruktur beitragen., Wir konzentrieren uns nicht auf einen bestimmten Ansatz, sondern umreißen die verschiedenen Ansätze und Tools, die zur Verfügung stehen, um Ihre Routing-Systeme zu sichern. Ein großartiges Dokument, um unseren Gesamtfokus in diesem Abschnitt zu verstehen, ist RFC 7454,“BGP Operations and Security“.,
BGP Grundlagen
- RFC7454: BGP Operations und Sicherheit
- NIST: Special Publication SP 800-54 – Border Gateway Protocol Security
- Internet Society: Routing-Sicherheit: Bericht über die 3. Internet Society Operator Roundtable
- RFC 4271: hintergrund Informationen auf BGP
PKIs und Zertifizierungsstellen
Es gibt mehrere Häufig verwendete Mechanismen für die sichere und private Kommunikation, Transaktion, Schutz und Identität, Selbstbehauptung und-management., Dazu gehören das sogenannte Internet-PKI, das üblicherweise für das sichere Surfen im Internet verwendet wird, aber für andere Anwendungen verwendet werden kann, PKI für E-Mail, RPKI, das von regionalen Internetregistern verwendet wird, um die Inhaber von IP-Ressourcen zu behaupten, und DNSSEC, das zur Validierung von DNS-Abfragen verwendet werden kann. DANE ist ein neues Protokoll, das DNSSEC verwendet, um Besitzern zu ermöglichen, ihre eigenen digitalen Zertifikate zu behaupten, und daher möglicherweise die Funktionalität des Internet-PKI in das globale DNS integrieren.,
Diese Einführung in PKIs & CAs bietet einen überblick darüber, wie diese Mechanismen funktionieren und wie Sie eingesetzt werden.
Möglicherweise möchten Sie auch die verschiedenen verfügbaren Berichte zur Sicherung von BGP durchlesen und die Arbeit im IETF innerhalb der Arbeitsgruppe Secure Inter-Domain Routing (SIDR) untersuchen.
Schauen Sie sich unseren Blog für Geschichten im Zusammenhang mit der Sicherung BGP und, wieder, bitte lassen Sie uns wissen, wie wir Ihnen helfen können!
Haben Sie Anregungen für weitere Fragen, die Sie uns hier beantworten sehen möchten? Bitte lassen Sie es uns wissen!