Securing BGP - A Literature SurveyG

Securing BGP - A Literature SurveyGeoff Huston, Mattia Rossi, Grenville ArmitageSwinburne University of TechnologyMelbourne, Australiagih@apnic.net, {mrossi,garmitage}@swin.edu.auAbstract—The Border Gateway Protocol (BGP) is the Internet’s inter-domain routing protocol. One of the major concernsrelated to BGP is its lack of effective security measures, and asa result the routing infrastructure of the Internet is vulnerableto various forms of attack. This paper examines the Internet’srouting architecture and the design of BGP in particular, andsurveys the work to date on securing BGP. To date no proposalhas been seen as offering a combination of adequate securityfunctions, suitable performance overheads and deployable support infrastructure. Some open questions on the next steps in thestudy of BGP security are posed.Index Terms—BGP security, Inter-domain routing security,routing, BGP, Computer Network Protocols.I. INTRODUCTIONThe Internet is a decentralised collection of interconnectedcomponent networks. These networks are composed of endhosts (who originate and/or receive IP packets, and are identified by IP addresses) and active forwarding elements (routers)whose role is to pass IP packets through the network. Therouting system is responsible for propagating the relativelocation of addresses to each routing element, so that routerscan make consistent and optimal routing decisions in orderto pass a packet from its source to its destination. Routingprotocols are used to perform this information propagation.The Internet’s current routing system is divided into a twolevel hierarchy. At one level is intra-domain routing, usedby the set of autonomous routing systems operating withineach component network. At the other level is a single interdomain routing system that maintains the inter-autonomoussystem connectivity information that straddles these component networks. A single inter-domain routing protocol, theBorder Gateway Protocol (BGP) [1], has provided interdomain routing services for the Internet’s disparate componentnetworks since the late 1980’s [2]. Given the central role ofrouting in the operation of the Internet, BGP is one of thecritical protocols that provide security and stability to theInternet [3].BGP’s underlying distributed distance vector computationsrely heavily on informal trust models associated with information propagation to produce reliable and correct results. Itcan be likened to a hearsay network — information is floodedacross a network as a series of point-to-point exchanges, withthe information being incrementally modified each time itis exchanged between BGP speakers. The design of BGPwas undertaken in the relatively homogeneous and mutuallytrusting environment of the early Internet. Consequently, itsapproach to information exchange was not primarily designedfor robustness in the face of various forms of negotiated trustor overt hostility on the part of some routing actors.Hostile actors are a fact of life in today’s Internet. TheInternet is a significant public communications utility operatedby a disparate collection of service providers, together witha relatively unclear distinction between the roles of serviceproviders and customers. It is quite reasonable to characterisetoday’s Internet environment as one where both customers andservice providers1 are potentially hostile actors, and wheretrust must be explicitly negotiated rather than assumed bydefault. This environment is no longer consistent with theinter-domain trust framework assumed by BGP, and BGP’soperational assumptions relating to trust are entirely inappropriate today.Today’s inter-domain routing environment remains a majorarea of vulnerability [3]. BGP’s mutual trust model involvesno explicit presentation of credentials, no propagation ofinstruments of authority, nor any reliable means of verifyingthe authenticity of the information being propagated throughthe routing system. Hostile actors can attack the network byexploiting this trust model in inter-domain routing to their ownends. An attacker can easily transform routing informationin ways that are extremely difficult for any third party todetect. For example, false routing information may be injected,valid routing information removed or information altered tocause traffic redirection [6], [7], [8], [9]. This approach canbe used to prevent the correct operation of applications, toconduct fraudulent activities, to disrupt the operation of part(or even all) of the network in various ways. The consequencesrange from relatively inconsequential (minor degradation ofapplication performance due to sub-optimal forwarding paths)through to catastrophic (major disruption to connectivity andcomprehensive loss of any form of cohesive Internet) [10],[11], [4].Current research on BGP is predominately focused on twomajor themes — scaling, and resistance to subversion ofintegrity [12].

Bảo vệ BGP - Một khảo sát văn học
Geoff Huston, Mattia Rossi, Grenville Armitage
Swinburne University of Technology
Melbourne, Australia
gih@apnic.net, {mrossi, garmitage} @ swin.edu.au
Abstract-The Border Gateway Protocol (BGP) là Internet của liên miền giao thức định tuyến. Một trong những mối quan tâm chính
liên quan đến BGP là thiếu các biện pháp bảo mật hiệu quả, và như
một kết quả cơ sở hạ tầng định tuyến của Internet là dễ bị tổn thương
với các hình thức khác nhau của cuộc tấn công. Bài báo này khảo sát của Internet
kiến trúc định tuyến và thiết kế của BGP nói riêng, và
các cuộc điều tra các công việc để đảm bảo ngày BGP. Cho đến nay không có đề nghị
đã được xem như là cung cấp một sự kết hợp của bảo mật đầy đủ
chức năng, chi phí thực hiện phù hợp và cơ sở hạ tầng hỗ trợ triển khai. Một số câu hỏi mở về các bước tiếp theo trong
nghiên cứu của BGP an ninh được đặt ra.
Index Điều khoản BGP-an ninh, Inter-miền bảo mật định tuyến,
định tuyến, BGP, Mạng máy tính Protocols.
I. GIỚI THIỆU
Internet là một bộ sưu tập phân cấp kết nối
mạng thành phần. Các mạng này được tạo thành từ cuối
host (người có nguồn gốc và / hoặc nhận các gói tin IP, và được xác định bởi địa chỉ IP) và các yếu tố chuyển tiếp hoạt động (router)
có vai trò là để vượt qua các gói tin IP thông qua mạng. Các
hệ thống định tuyến có trách nhiệm tuyên truyền tương đối
vị trí của các địa chỉ cho mỗi yếu tố định tuyến, do đó router
có thể đưa ra quyết định định tuyến phù hợp và tối ưu để
vượt qua một gói tin từ nguồn tới đích của nó. Định tuyến
giao thức được sử dụng để thực hiện công tác tuyên truyền thông tin này.
Hệ thống định tuyến hiện tại của Internet được chia thành một hệ thống phân cấp twolevel. Ở một mức độ là định tuyến nội miền, được sử dụng
bởi các thiết lập của hệ thống định tuyến độc lập hoạt động trong
mỗi mạng thành phần. Ở cấp độ khác là một hệ thống định tuyến interdomain duy nhất duy trì sự liên tự trị
thông tin kết nối hệ thống vượt lên các mạng thành phần. Một liên miền giao thức định tuyến duy nhất,
Border Gateway Protocol (BGP) [1], đã cung cấp dịch vụ interdomain định tuyến cho các thành phần khác nhau của Internet
mạng kể từ những năm 1980 cuối năm [2]. Với vai trò trung tâm của
định tuyến trong các hoạt động của Internet, BGP là một trong những
giao thức quan trọng để cung cấp an ninh và ổn định cho
Internet [3].
Cơ bản tính toán vector khoảng cách phân phối BGP của
yếu dựa trên mô hình tin cậy không chính thức liên quan đến thông tin tuyên truyền để sản xuất đáng tin cậy và chính xác kết quả. Nó
có thể được so sánh với một mạng lưới tin đồn - thông tin tràn ngập
trên mạng như là một loạt giao lưu point-to-point, với
những thông tin đang được từng bước đổi mỗi khi nó
được trao đổi giữa các loa BGP. Các thiết kế của BGP
được thực hiện trong tương đối đồng nhất và cùng
môi trường tin cậy của Internet sớm. Do đó, nó
tiếp cận để trao đổi thông tin không được thiết kế chủ yếu
cho mạnh mẽ khi đối mặt với các hình thức khác nhau của sự tin tưởng thương lượng
hoặc thù địch công khai trên các phần của một số diễn viên định tuyến.
Diễn viên Hostile là một thực tế của cuộc sống trong Internet ngày nay. The
Internet là một tiện ích truyền thông công cộng đáng kể hoạt động
của một bộ sưu tập khác nhau của các nhà cung cấp dịch vụ, cùng với
một sự phân biệt rõ ràng tương đối giữa vai trò của dịch vụ
cung cấp và khách hàng. Nó là khá hợp lý để đặc trưng cho
môi trường Internet hiện nay là một trong những nơi mà cả khách hàng và
dịch vụ có tiềm năng providers1 diễn viên thù địch, và nơi mà
niềm tin phải được đàm phán một cách rõ ràng hơn là giả định bởi
mặc định. Môi trường này không còn phù hợp với
khuôn khổ niềm tin liên miền giả bởi BGP, và BGP của
giả định hoạt động liên quan đến sự tin tưởng hoàn toàn không phù hợp ngày hôm nay.
Môi trường định tuyến liên miền ngày nay vẫn còn là một chính
khu vực dễ bị tổn thương [3]. Mô hình tin cậy lẫn nhau của BGP liên quan đến
không trình bày rõ ràng các thông tin, không có tuyên truyền các
công cụ của chính quyền, cũng không phải bất kỳ phương tiện đáng tin cậy để xác minh
tính xác thực của thông tin được truyền đi qua
hệ thống định tuyến. Diễn viên thù địch có thể tấn công mạng bằng cách
khai thác mô hình tin cậy này trong liên miền định tuyến để riêng của họ
kết thúc. Một kẻ tấn công có thể dễ dàng chuyển đổi thông tin định tuyến
theo những cách vô cùng khó khăn cho bất kỳ bên thứ ba để
phát hiện. Ví dụ, thông tin định tuyến sai có thể được tiêm,
thông tin định tuyến hợp lệ gỡ bỏ hoặc thay đổi thông tin để
gây chuyển hướng giao thông [6], [7], [8], [9]. Cách tiếp cận này có thể
được sử dụng để ngăn chặn các hoạt động chính xác của các ứng dụng, để
tiến hành các hoạt động lừa đảo, làm gián đoạn hoạt động của một phần
(hoặc tất cả) của mạng theo những cách khác nhau. Hậu quả
từ tương đối nhỏ nhặt (suy thoái nhỏ của
hiệu suất ứng dụng do đường dẫn chuyển tiếp tối ưu phụ)
thông qua thê thảm (gián đoạn lớn để kết nối và
mất toàn diện của bất kỳ hình thức Internet cố kết) [10],
[11], [4].
Nghiên cứu hiện nay trên BGP được chủ yếu tập trung vào hai
chủ đề chính - nhân rộng, và khả năng chống lật đổ của
toàn vẹn [12].