Este documento descreve como a Route Origin Validation (ROV) pode proteger o BGP de sequestro de rota, onde pessoas má intencionadas, anunciam uma rota maliciosa para enviar tráfego para servidores e roteadores ilegítimos. ROV é uma técnica que pode verificar a autenticidade de cada parada entre o emissor da informação e o receptor.
BGP é o protocolo de roteamento padrão usado por roteadores conectados na internet. As organizações publicam informações sobre a rota mais rápida - mais eficiente - a ser seguida para alcançar sua rede, e os roteadores usam o BGP para encontrar essas informações. Se algo der errado ao longo dessa rota, o roteador pode publicar informações alternativas para que o fluxo de tráfego não seja interrompido.
O NIST Cybersecurity Practice Guide demonstra uma PoC (proof-of-concept) de como BGP Route Origin Validation (ROV) pode ser implementado com Resource Public Key Infrastructure (RPKI) para endereçar e resolver rotas de rede errôneas que estão sendo trocadas. O RPKI foi proposto em 2013 como RFC 6810 para usar pares de chaves criptográficas público-privadas para validar se as redes têm ou não permissão para fazer seus anúncios de rota BGP.
Desenvolvido em cooperação com AT&T, CenturyLink, Cisco, Comcast, Juniper, Palo Alto Networks e George Washington University, o Draft SP 1800-14 descreve como o ROV pode reduzir o número de sequestros de rota, garantir que o tráfego chegue ao seu destino e ajudar os operadores de rede a decidir o que fazer se outra rede não estiver usando ROV e acionar alertas quando alguém estiver anunciando rotas inválidas. Embora a necessidade de proteger o BGP seja bem compreendida.
No Brasil, o NIC.br, lançou alguns tutoriais sobre a utilização e implantação das chaves RPKI. [Tutoriais RPKI]
-------------
Recomendamos o Treinamento em Segurança de Redes de Computadores da SegInfo Brasil que ajudara a pôr em prática a base teórica da área de segurança no seu ambiente de trabalho.
Nenhum comentário:
Postar um comentário