Nul
Het werk dat begonnen is in oktober vorig jaar op de beveiliging van het protocol dat bindt samen het Internet is eindelijk vruchten afwerpen.
Deze week, een afdeling van de National Cybersecurity Center of Excellence (NCCoE) in de AMERIKAANSE Nationale Instituut voor Standaarden en Technologie (NIST) heeft een eerste concept van een standaard beveiliging waarmee de Border Gateway Protocol (BGP).
BGP is de primaire protocol dat internet service providers (Isp ‘ s), hosting providers, cloud providers, onderwijs, onderzoek, en nationale netwerken gebruiken voor het verzenden van verkeer tussen elkaars netwerken, het koppelen van de kleine netwerken die de grotere Internet.
Ook de Zorgen ontstaan over de veiligheid van nieuwe WebAuthn protocol
Het BGP protocol is ontwikkeld in de jaren 1980, en de laatste grote herziening van het protocol was in 1995, lang voor de zekerheid werd een probleem voor internet verkeer.
Sindsdien, slechte acteurs zijn van misbruik van het BGP protocol te verleiden kleinere netwerken in het verzenden van stukken van het verkeer bedoeld voor andere netwerken op de verkeerde plaats, waardoor de slechte acteurs te onderscheppen, ruiken, of het wijzigen van het verkeer voordat het naar de bedoelde bestemming.
Dergelijke aanvallen worden vaak aangeduid als BGP kaapt, en in de afgelopen jaren zijn ze uitgegroeid tot een ernstig probleem, in het hart van verschillende grote security incidenten.
Bijvoorbeeld, op het einde van juli, dit jaar, van het telegramverkeer van over de hele wereld nam een omweg door middel van Iran, allemaal dankzij een BGP kapen.
In April, aanvallers gebruikt een BGP kapen om het omleiden van het verkeer, bedoeld voor een grote Amazon Web Services (AWS), zodat ze kunnen trekken uit een alledaagse phishing-aanval tegen een Ethereum portemonnee site.
In December 2017, een russische ISP-provider BGP-gekaapt web verkeer bedoeld voor de grote sites van Google, Facebook, Apple en Microsoft. Dit kwam na de andere russische ISP eerder BGP-gekaapt-verkeer voor Visa, MasterCard, en Symantec, slechts acht maanden eerder.
In augustus 2017, een fout van Google ‘ s leidde tot een BGP kapen dat leidde tot een landelijke stroomstoring in Japan.
Dit zijn slechts een fractie van de BGP kaapt gemeld in de afgelopen jaren, en er zijn nog veel meer. [1, 2, 3, 4, 5, 6]
Ook: de AMERIKAANSE overheid releases post-mortem verslag over Equifax hack
Terug in oktober 2017, twee AMERIKAANSE overheidsinstellingen, de eerder genoemde NIST en het Department of Homeland Security (DHS) Wetenschap en Technologie van de Directie gestart met een gezamenlijk project genaamd Secure Inter-Domain Routing (SIDR) met het uitdrukkelijke doel het veiligstellen van het BGP protocol van dergelijke aanvallen.
“De totale defensieve inspanning zal het gebruik van cryptografische methoden om ervoor te zorgen routing gegevens reist langs een geautoriseerde pad tussen netwerken,” de NCCoE op NIST zei in een persbericht op het moment.
“Er zijn drie essentiële componenten van de IETF SIDR inspanning: De eerste, een ‘Resource’ Public Key Infrastructure ‘ (RPKI), biedt een manier voor een houder van een blok van internet adressen, meestal een bedrijf of een cloud service provider–te bepalen welke netwerken kunnen kondigen een directe verbinding naar hun adres te blokkeren; het tweede, BGP Oorsprong Validatie, kunt routers te gebruiken RPKI informatie te filteren uit onbevoegde BGP route aankondigingen, het elimineren van de mogelijkheid van schadelijke partijen om gemakkelijk te kapen routes naar specifieke bestemmingen. De derde component, BGP Pad Validatie (ook bekend als ‘BGPsec’), is wat beschreven wordt in de suite van de ontwerp-normen (Rfc ‘ s 8205 door 8210) de IETF is net gepubliceerd.”
Opmerking: RPKI is een product van de IETF SIDR werkgroep, niet NIST of DHS, maar ze werden opgenomen en nu deel uitmaken van de definitieve NIST&DHS SIDR project.
Ook: Hoe de VS-autoriteiten opgespoord de Noord-koreaanse hackers achter WannaCry
Eerder deze week, de NIST en DHS teams die hun eerste ontwerp van de BGP Route Oorsprong Validatie (ROV) standaard.
“Het voorbeeld van implementatie beschreven in deze handleiding bedoeld is voor het beschermen van de integriteit en het verbeteren van de veerkracht van het Internet verkeer uit te wisselen door het controleren van de bron van de route,” NIST zei in een persbericht deze week.
“Onze normen op basis van voorbeeld-oplossing maakt gebruik van in de handel verkrijgbare producten en kan worden gebruikt in hun geheel of gedeeltelijk. Het kan ook worden gebruikt als referentie om een organisatie te helpen een eigen, op maat gemaakte oplossing.”
Het ontwerp is open voor opmerkingen van de algemene publieke en private sector tot 15 oktober, wanneer het zal gaan om te bekomen van de goedkeuring van de IETF (Internet Engineering Task Force), de organisatie die keurt Internet-brede standaarden.
De normen voor de andere twee SIDR protocollen –BGP RPKI en BGPsec– al zijn gepubliceerd op de website van IETF als RFC 8210 en RFC 8206.
Verwante Onderwerpen:
Overheid
Beveiliging TV
Data Management
CXO
Datacenters
0