Securing BGP - A Literature SurveyG

Securing BGP - A Literature SurveyGeoff Huston, Mattia Rossi, Grenville ArmitageSwinburne University of TechnologyMelbourne, Australiagih@apnic.net, {mrossi,garmitage}@swin.edu.auAbstract—The Border Gateway Protocol (BGP) is the Internet’sinter-domain routing protocol. One of the major concernsrelated to BGP is its lack of effective security measures, and asa result the routing infrastructure of the Internet is vulnerableto various forms of attack. This paper examines the Internet’srouting architecture and the design of BGP in particular, andsurveys the work to date on securing BGP. To date no proposalhas been seen as offering a combination of adequate securityfunctions, suitable performance overheads and deployable supportinfrastructure. Some open questions on the next steps in thestudy of BGP security are posed.Index Terms—BGP security, Inter-domain routing security,routing, BGP, Computer Network Protocols.I. INTRODUCTIONThe Internet is a decentralised collection of interconnectedcomponent networks. These networks are composed of endhosts (who originate and/or receive IP packets, and are identi-fied by IP addresses) and active forwarding elements (routers)whose role is to pass IP packets through the network. Therouting system is responsible for propagating the relativelocation of addresses to each routing element, so that routerscan make consistent and optimal routing decisions in orderto pass a packet from its source to its destination. Routingprotocols are used to perform this information propagation.The Internet’s current routing system is divided into a twolevelhierarchy. At one level is intra-domain routing, usedby the set of autonomous routing systems operating withineach component network. At the other level is a single interdomainrouting system that maintains the inter-autonomoussystem connectivity information that straddles these componentnetworks. A single inter-domain routing protocol, theBorder Gateway Protocol (BGP) [1], has provided interdomainrouting services for the Internet’s disparate componentnetworks since the late 1980’s [2]. Given the central role ofrouting in the operation of the Internet, BGP is one of thecritical protocols that provide security and stability to theInternet [3].BGP’s underlying distributed distance vector computationsrely heavily on informal trust models associated with informationpropagation to produce reliable and correct results. Itcan be likened to a hearsay network — information is floodedacross a network as a series of point-to-point exchanges, withthe information being incrementally modified each time itc 2010 IEEE. Personal use of this material is permitted. However, permissionto reprint/republish this material for advertising or promotional purposesor for creating new collective works for resale or redistribution to servers orlists, or to reuse any copyrighted component of this work in other works mustbe obtained from the IEEE.is exchanged between BGP speakers. The design of BGPwas undertaken in the relatively homogeneous and mutuallytrusting environment of the early Internet. Consequently, itsapproach to information exchange was not primarily designedfor robustness in the face of various forms of negotiated trustor overt hostility on the part of some routing actors.Hostile actors are a fact of life in today’s Internet. TheInternet is a significant public communications utility operatedby a disparate collection of service providers, together witha relatively unclear distinction between the roles of serviceproviders and customers. It is quite reasonable to characterisetoday’s Internet environment as one where both customers andservice providers1are potentially hostile actors, and wheretrust must be explicitly negotiated rather than assumed bydefault. This environment is no longer consistent with theinter-domain trust framework assumed by BGP, and BGP’soperational assumptions relating to trust are entirely inappropriatetoday.Today’s inter-domain routing environment remains a majorarea of vulnerability [3]. BGP’s mutual trust model involvesno explicit presentation of credentials, no propagation ofinstruments of authority, nor any reliable means of verifyingthe authenticity of the information being propagated throughthe routing system. Hostile actors can attack the network byexploiting this trust model in inter-domain routing to their ownends. An attacker can easily transform routing informationin ways that are extremely difficult for any third party todetect. For example, false routing information may be injected,valid routing information removed or information altered tocause traffic redirection [6], [7], [8], [9]. This approach canbe used to prevent the correct operation of applications, toconduct fraudulent activities, to disrupt the operation of part(or even all) of the network in various ways. The consequencesrange from relatively inconsequential (minor degradation ofapplication performance due to sub-optimal forwarding paths)through to catastrophic (major disruption to connectivity andcomprehensive loss of any form of cohesive Internet) [10

Bảo vệ BGP - Một khảo sát văn học
Geoff Huston, Mattia Rossi, Grenville Armitage
Swinburne University of Technology
Melbourne, Australia
gih@apnic.net, {mrossi, garmitage} @ swin.edu.au
Abstract-The Border Gateway Protocol (BGP) là Internet của
liên miền giao thức định tuyến. Một trong những mối quan tâm chính
liên quan đến BGP là thiếu các biện pháp bảo mật hiệu quả, và như
một kết quả cơ sở hạ tầng định tuyến của Internet là dễ bị tổn thương
với các hình thức khác nhau của cuộc tấn công. Bài báo này khảo sát của Internet
kiến trúc định tuyến và thiết kế của BGP nói riêng, và
các cuộc điều tra các công việc để đảm bảo ngày BGP. Cho đến nay không có đề nghị
đã được xem như là cung cấp một sự kết hợp của bảo mật đầy đủ
chức năng, chi phí thực hiện phù hợp và hỗ trợ triển khai
cơ sở hạ tầng. Một số câu hỏi mở về các bước tiếp theo trong
nghiên cứu của BGP an ninh được đặt ra.
Index Điều khoản BGP-an ninh, Inter-miền bảo mật định tuyến,
định tuyến, BGP, Mạng máy tính Protocols.
I. GIỚI THIỆU
Internet là một bộ sưu tập phân cấp kết nối
mạng thành phần. Các mạng này được tạo thành từ cuối
host (người có nguồn gốc và / hoặc nhận các gói tin IP, và được nhận diện
lập ra qua địa chỉ IP) và các yếu tố chuyển tiếp hoạt động (router)
có vai trò là để vượt qua các gói tin IP thông qua mạng. Các
hệ thống định tuyến có trách nhiệm tuyên truyền tương đối
vị trí của các địa chỉ cho mỗi yếu tố định tuyến, do đó router
có thể đưa ra quyết định định tuyến phù hợp và tối ưu để
vượt qua một gói tin từ nguồn tới đích của nó. Định tuyến
giao thức được sử dụng để thực hiện công tác tuyên truyền thông tin này.
Hệ thống định tuyến hiện tại của Internet được chia thành một twolevel
hệ thống phân cấp. Ở một mức độ là định tuyến nội miền, được sử dụng
bởi các thiết lập của hệ thống định tuyến độc lập hoạt động trong
mỗi mạng thành phần. Ở cấp độ khác là một interdomain đơn
hệ thống định tuyến duy trì liên tự trị
thông tin kết nối hệ thống mà nằm giữa các thành phần
mạng. Một liên miền giao thức định tuyến duy nhất,
Border Gateway Protocol (BGP) [1], đã cung cấp interdomain
định tuyến dịch vụ cho các thành phần khác nhau của Internet
mạng kể từ những năm 1980 cuối năm [2]. Với vai trò trung tâm của
định tuyến trong các hoạt động của Internet, BGP là một trong những
giao thức quan trọng để cung cấp an ninh và ổn định cho
Internet [3].
Cơ bản tính toán vector khoảng cách phân phối BGP của
yếu dựa trên mô hình tin cậy không chính thức liên quan đến thông tin
tuyên truyền để sản xuất đáng tin cậy và chính xác kết quả. Nó
có thể được so sánh với một mạng lưới tin đồn - thông tin tràn ngập
trên mạng như là một loạt giao lưu point-to-point, với
những thông tin đang được từng bước sửa đổi mỗi lần nó c 2010 IEEE. Cá nhân sử dụng của vật liệu này được cho phép. Tuy nhiên, cho phép in lại / tái xuất nguyên liệu này để quảng cáo hoặc các mục đích quảng cáo hoặc cho việc tạo công trình tập thể mới để bán lại hoặc phân phối lại cho các máy chủ hoặc danh sách, hoặc sử dụng lại bất kỳ thành phần có bản quyền của tác phẩm này trong các công trình khác phải được lấy từ IEEE. Được trao đổi giữa các loa BGP. Các thiết kế của BGP được thực hiện trong tương đối đồng nhất và cùng môi trường tin cậy của Internet sớm. Do đó, nó tiếp cận để trao đổi thông tin không được thiết kế chủ yếu cho mạnh mẽ khi đối mặt với các hình thức khác nhau của sự tin tưởng thương lượng hoặc thù địch công khai trên các phần của một số diễn viên định tuyến. Diễn viên Hostile là một thực tế của cuộc sống trong Internet ngày nay. The Internet là một tiện ích truyền thông công cộng đáng kể hoạt động của một bộ sưu tập khác nhau của các nhà cung cấp dịch vụ, cùng với một sự phân biệt rõ ràng tương đối giữa vai trò của dịch vụ cung cấp và khách hàng. Nó là khá hợp lý để đặc trưng cho môi trường Internet hiện nay là một trong những nơi mà cả khách hàng và dịch vụ providers1 là khả năng diễn viên thù địch, và nơi mà niềm tin phải được đàm phán một cách rõ ràng hơn là giả định bởi mặc định. Môi trường này không còn phù hợp với khuôn khổ niềm tin liên miền giả bởi BGP, và BGP của giả định hoạt động liên quan đến sự tin tưởng hoàn toàn không phù hợp ngày hôm nay. Môi trường định tuyến liên miền ngày nay vẫn còn là một chính khu vực dễ bị tổn thương [3]. Mô hình tin cậy lẫn nhau của BGP liên quan đến không trình bày rõ ràng các thông tin, không có tuyên truyền các công cụ của chính quyền, cũng không phải bất kỳ phương tiện đáng tin cậy để xác minh tính xác thực của thông tin được truyền đi qua hệ thống định tuyến. Diễn viên thù địch có thể tấn công mạng bằng cách khai thác mô hình tin cậy này trong liên miền định tuyến để riêng của họ kết thúc. Một kẻ tấn công có thể dễ dàng chuyển đổi thông tin định tuyến theo những cách vô cùng khó khăn cho bất kỳ bên thứ ba để phát hiện. Ví dụ, thông tin định tuyến sai có thể được tiêm, thông tin định tuyến hợp lệ gỡ bỏ hoặc thay đổi thông tin để gây chuyển hướng giao thông [6], [7], [8], [9]. Cách tiếp cận này có thể được sử dụng để ngăn chặn các hoạt động chính xác của các ứng dụng, để tiến hành các hoạt động lừa đảo, làm gián đoạn hoạt động của một phần (hoặc tất cả) của mạng theo những cách khác nhau. Hậu quả từ tương đối nhỏ nhặt (suy thoái nhỏ của hiệu suất ứng dụng do đường dẫn chuyển tiếp tối ưu phụ) thông qua thê thảm (gián đoạn lớn để kết nối và mất toàn diện của bất kỳ hình thức cố kết Internet) [10