Säkerhet i gränsrouting



Relevanta dokument
Säkerhetshot vid utbyte av trafik mellan Internetoperatörer

Att Säkra Internet Backbone

Nätverkslagret - Intro

DIG IN TO Administration av nätverk- och serverutrustning

DIG IN TO Administration av nätverk- och serverutrustning

Datakommunikation. Nätskiktet. Routers & routing

Din guide till en säkrare kommunikation

Internationell utveckling av Internet.

Säkerhet genom simpel nätverksutrustning. Högskoleingenjörsexamensarbete Fredrik Folke

IP routinghierarkier. Robert Löfman Institutionen för informationsbehandling Åbo Akademi, FIN Åbo, Finland e post: robert.lofman@abo.nospam.

Föreläsning 5. Vägval. Vägval: önskvärda egenskaper. Mål:

DIG IN TO Administration av nätverk- och serverutrustning

Denial of Services attacker. en översikt

LABORATIONSRAPPORT Säkerhet och Sårbarhet Laboration 1 Brandväggar

DIG IN TO Administration av nätverk- och serverutrustning

Internet möjliggörare och utmanare

Rättningstiden är i normalfall 15 arbetsdagar och resultat anslås sedan i Ladok inom en vecka (under förutsättning att inget oförutsett inträffar).

DIG IN TO Nätverkssäkerhet

Foto: Björn Abelin, Plainpicture, Folio bildbyrå Illustrationer: Gandini Forma Tryck: Danagårds Grafiska, 2009

DIG IN TO Administration av nätverk- och serverutrustning

Vad säger PTS om öppenhet och exklusiva avtal med fastighetsägare?

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni Erik Norman 1(6)

IT-säkerhet Externt och internt intrångstest

DIG IN TO Administration av nätverk- och serverutrustning

Kapitel 10, 11 o 12: Nätdrift, Säkerhet. Publika telenätet. Informationsöverföring. Jens A Andersson. Telenäten är digitala.

(5)

g S tin u g A o ett tin u r R m llan o o e to R ec in m g? ain g S tin m tin ce-v u o u r ro r-d r ro istan ö te ö är ett A d a D - F In - F V

Rapport om routinganalys för Post och Telestyrelsen I samband med flytt av knutpunkt från Stockholm-A till Stockholm-C. Bilaga 5

Tentamen CDT102 Datakommunikation i nätverk I 7,5hp

Överbelastningsattacker mot gränsroutrar

Setup Internet Acess CSE-H55N

Säkra trådlösa nät - praktiska råd och erfarenheter

Förutsättningar för övningar och praktiska prov avseende drift av Internet i Sverige oberoende av funktioner utomlands

Svensk telekommarknad 2018

NORDUnet Nordic infrastructure for Research & Education. Statusrapport NUNOC. per@nordu.net. Stockholm 11/15/07 11/14/07

Skydda ditt nät och dina kunder från näthoten. Integritet, Spårbarhet och Tillgänglighet

Tentamen i Datorkommunikation den 10 mars 2014

Svar till SSNf angående projekt SKA 3.1, Säker Kund Anslutning. 12 Mars 2008 Version 3.0

Vägledning för anskaffning av robust elektronisk kommunikation

Säker IP telefoni? Hakan Nohre, CISSP

! " #$%&' ( #$!

ETS052 Internet Routing WILLIAM TÄRNEBERG

Datakommunika,on på Internet

Att sätta upp trådlöst med Cisco Controller 2100 series och Cisco AP 1200 series

DIG IN TO Administration av nätverk- och serverutrustning

Frågeformulär till. Svensk telemarknad 2000

Post- och telestyrelsen (PTS) Att Anders Öhnfeldt. Box Stockholm. 28 januari 2015

Instuderingsfrågor ETS052 Datorkommuniktion

Viktigt! Glöm inte att skriva Tentamenskod på alla blad du lämnar in.

Kapitel 10 , 11 o 12: Nätdrift, Säkerhet

Informationsteknologi sommarkurs 5p, Datakommunikation

ETS052 Internet Routing. Jens A Andersson

Brandväggs-lösningar

Övning 5 EITF25 & EITF Routing och Networking. October 29, 2016

We re Still running Rocksolid Internet Services

Klicka här för att ändra

Instruktioner till frågeformuläret

Tentamen CDT102 Datakommunikation i nätverk I 7,5hp

IT-säkerhet Internt intrångstest

IT-säkerhet Externt och internt intrångstest

Övning 5 ETS052 Datorkommuniktion Routing och Networking

EITF45 Internet Routing JENS ANDERSSON (WILLIAM TÄRNEBERG)

Totalt antal poäng på tentamen: 50 För att få respektive betyg krävs: U<20, 3>=20, 4>=30, 5>=40

Nätverksteknik Mattias Claesson Joakim Juhlin

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

TENTAMEN. Kurskod/Kurs: 5DV013, Datakommunikation och datornät. Ansvariga lärare: Jerry Eriksson Anders Broberg

Nätverksteknik A - Introduktion till Routing

Ver Guide. Nätverk

Hur gör man ett trådlöst nätverk säkert?

Slutrapport SKA fas två. Godkänd: Rev: Maj. Rapport SKA 1(8)

Grundläggande rou-ngteknik. F2: Kapitel 2 och 3

SkeKraft Bredband Installationsguide

3. Steg för steg. Kör IPv6 på riktigt med FortiGate! Principen är enkel:

Säker e-post Erfarenheter från Swedbank

Practical WLAN Security

Switch- och WAN- teknik. F7: ACL och Teleworker Services

Modul 6 Webbsäkerhet

Interna routingprotokoll i operatörsnät - uppbyggnad och tillämpning

POST- OCH TELESTYRELSEN SVENSK TELEMARKNAD Tabell 1 Antal abonnemang och indirekt anslutna för fast telefoni (PSTN & ISDN)

Radiospektrum hur funkar det? Vad händer med 700-bandet?

Björn Björk IT strateg/projektledare

Vilken säkerhet i stadsnäten?

ETS052 Internet Routing. Jens A Andersson

EITF45 Internet Routing JENS ANDERSSON (WILLIAM TÄRNEBERG)

TCP/IP-baserade attacker och deras motmedel

IPv6 och säkerhet.

SKA v6. Godkänd: Rev: April. SKA v6 1(19)

PTS redovisar härmed sin utredning enligt förordning (2007:1244) om konsekvensutredning vid regelgivning avseende upphävandet av de allmänna råden.

Få ut mer av fibernätet med en av våra paketlösningar

IPv6 i Stadsnät. Anders Löwinger, PacketFront

EITF45 Internet Routing JENS ANDERSSON (BILDBIDRAG WILLIAM TÄRNEBERG)

EBITS Energibranschens Informations- & IT-säkerhetsgrupp

IPv6 i SUNET. Johan Nicklasson KTHNOC/SUNET johan@sunet.se

5 Internet, TCP/IP och Tillämpningar

Information till kunderna

DIG IN TO Administration av nätverk- och serverutrustning

SPID och identifiering av obfuskerade protokoll

Lösningar till tentan i ETS052 Datorkommunikation

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

MINNESANTECKNINGAR. SUNETs Tekniska Referensgrupp. Sammanträdesdatum: Närvarande ledamöter: Mats S Andersson (ordförande)

Transkript:

Säkerhet i gränsrouting -relaterade hot och skydd - test av sårbarheter Anders Rafting, Post och telestyrelsen Michael Liljenstam, Omicron Ceti AB

Agenda PTS säkerhetsarbete inom publik elektronisk kommunikation BGP: Sårbarheter, hot och konsekvenser av attacker Test av sårbarheter Sammanfattning & slutsatser

PTS säkerhetsarbete inom publik elektronisk kommunikation PTS roll är att se till att allmänt tillgänglig elektronisk kommunikation fungerar tillfredsställande och säkert för alla i sund konkurrens PTS agerar utifrån en säkerhetsnivå som bestämts av marknaden: Upphandling av robusthets- och säkerhetshöjande åtgärder Samarbete med näringslivet Reglering av säkerheten enligt lag (Ekomlagen + Toppdomänlagen)

Hotbild Avgrävda kablar Fysiska angrepp Elkraftförsörjning Olyckor/handhavandefel Kriminalitet Terrorism Sabotage Logiska angrepp Vinstintressen Insider Teknikutvecklingen Samhällsekonomi

Idag Näten konvergerar mot IP I framtiden Transport Acess PSTN DPCN ATM IP PDH SDH ATM IP Transport Acess IP Aggregerad nivå Trådlöst BB PSTN xdsl Kabel-TV Hyrda förbindelser Mobil nät Trådlöst BB PSTN xdsl Kabel-TV Hyrda förbindelser Mobil nät mer tryck på BGP

BGP: Sårbarheter, hot och konsekvenser av attacker Ingen möjlighet att verifiera uppdateringar Exponerat för tillgänglighetsattacker Intrång i router (router hijacking) Bedräglig modifiering av routing information ISP nät isoleras från omvärlden Trafik försvinner blackholing Trafik dirigeras till felaktig eller falsk destination.

Omdirigering och avlyssning av abonnenttrafik gör det möjligt för angripare att: Undersöka och avtappa abonnenttrafik och skicka den vidare till avsedd destination Modifiera abonnenttrafik och skicka den vidare till avsedd destination Ta bort valda delar av abonnenttrafik Ge sig ut för att vara abonnenter genom att ta emot trafik riktad avsedd för dem och svara å deras vägnar

Initiativ till säkerhetsförbättringar Skydd av routinginformationen Förbättringar av BGP med kryptografiska skydd Secure BGP (S-BGP) [BBN] Secure Origin BGP (SoBGP) [Cisco] IETF har en arbetsgrupp för routing-protokollsäkerhet (rpsec) Tills sådan lösning kan rullas ut Realtidskontroller av data (mindre stringent kontroll) Listen & Whisper [Berkeley, m.fl.] Kontroll av ursprung mot IRR [UC Riverside] Kommersiell övervakningstjänst [t.ex. Renesys]

Test av sårbarheter Syfte och mål: Förbättrad förståelse för befintliga och potentiella sårbarheter Genom fysiska experiment och simuleringar ta fram förbättrad BCP Gemensamma ansträngningar för att uppdaterad BCP förankras och tillämpas på en global nivå

Attack-experiment och simuleringar Inriktning Studera ett urval kända sårbarheter Metodik Internet (Svenska delen) påverkan på interdomän-routingsystemet Mål för experiment 1. Bättre förståelse för svagheterna 2. Kontrollera om de åtgärdats / kvarstår 3. Grund för simuleringar, med avsikten att försöka uppskatta konsekvenserna av attacker Experiment primära effekter intrång omstart överbelastning (CPU,minne) Lokal miljö (lokalt nät) hårdvara mjukvara konfiguration sekundära effekter / konsekvenser spridning av falsk rutt-information effekter av router-krasch rutt-dämpning

Attack-träd Orsaka omstart Störa peering-förbindelse Orsaka CPU-belastning Orsaka minnesbelastning Injicera falsk BGP-rutt Blockera NIC felformaterat paket Förfalska ICMP Src/dst IP traceroutes TCP-attack Kända/gissade ändpunkter & Belasta input-kö Direkt attack TCP RST/SYN OS-identifiering IPv6-paket Kommandoexekvering Reflektionsattack & Kända/gissade sekvensnummer MPLS-paket Attackera webbserver & Tysta motpart ARP-baserad attack Inducera slow path Hög addressdiversitet Multicasttrafik IP options Attackera webbserver Bufferöverskridningsattack Insider Nivå-2 lokal attack Ruttdeaggregering Updatebelastning Kontrollplansaccess (BGP) Kapa peering SNMP community guessing Injicera genom BGP Handel med ägda routrar Bryta TCPförbindelse TCP-förbindelsekapning Routerintrång Lösenordsgissning Injicera genom IGP Lyckad attack mot IGP-protokoll Skräddarsytt IPv6-paket

Exempel på ett praktiskt experiment Återskapa attack mot en känd MPLS-relaterad sårbarhet Mindre routrar, IOS versioner som stöder MPLS Åtgärdat i nyare OS-versioner Angripare Router-konsol

Några observationer TCP-sårbarheter Störningsattack för att bryta förbindelse Svårare att genomföra i praktiken än först förespeglats Svårare med moderna OS-versioner, även utan extra MD5-skydd Injicering av BGP-update Belastningsattacker Endast praktiskt om förbindelsen kan avlyssnas Mer reellt hot mot peering-förbindelser Behov av skyddsåtgärder

Simuleringsmodell Svenska delen av interdomän-routingsystemet Paket-nivå simulator (SSFNet) Detaljerade protokoll-modeller BGP Använts tidigare för att studera BGP Routing-konvergens [Griffin & Premore, ICMP 01] Route-flap-dämpning [Mao et al., SIGCOMM 02] Validering Jämförelse med BGP-mätdata: Routingtabeller AS-topologi - BGP-data - routingregistret - lista över svenska ISPer ASegenskaper - Marknadsandel Routing-policy - routingregistret

Simulerad attack: exempel-scenario Annonsering/injicering av falsk routing-information Deaggregering av prefix Olika angreppsobjekt Befintligt skydd: defensiv filtrering Försiktiga antaganden Defensiva filter från all tillgänglig information undre gräns för konsekvenser Exempel-mål: bank antal attack-punkter I 12 angreppsscenarier påverkades upp till 10% av slutanvändarna andel användare

Slutsatser & sammanfattning Resultat och rekommendationer Viktigt med skyddsåtgärder mot belastningsangrepp Enkla belastningsattacker större hot än TCP-attacker Viktigt att uppdatera mjukvaran även i routrar Använd tillgängliga BCP:er, t.ex. Cymru, Cisco Studerat skyddseffekt av dessa Detaljerad rapport kommer att publiceras inom kort Simulerad spridning av falsk information in systemet Bra skydd mot vissa scenarier liten slutanvändarpåverkan Enstaka fall med stort genomslag marknadskoncentration Dagens metoder ger inte ett heltäckande skydd Berörda parter bör överväga möjligheten att införa någon form av förstärkt skydd i väntan på en standardiserad lösning

Tack!

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss