Jump to content

дырявый BGP - реальная ли опасность?

neiromancer

By neiromancer
in У нага

 Share

Recommended Posts

  • Replies 72
  • Created
  • Last Reply

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

Z1oy

Z1oy

Posted
Posted
Все сетевые СМИ, обосравшись, бегают с новостью http://www.securitylab.ru/news/358464.php, что де конец света инета уже наступил, и все мы умрём завтра...

А что думают уважаемые?

баян какой-то, как будто раньше никто не знал про забаву проанонсить не совсем смышленому пиру 0.0.0.0, при этом сам трафег не транзитить :-)
belovictor

belovictor

Posted
Posted

Фильтры по префиксам на клиента и мониторинг через renesys.com. Всего делов. А YouTube замочалили, потому что PCCW не ставил на своего клиента фильтров на приеме анонсов.

tgz

tgz

Posted
Posted

IRR filters helps prevent *accidental* hijacking and *accidental* route spillage. In that, they seem to do their job. I don't know why people think that would help prevent a deliberate hijacking job.

© Deepak Jain

 

Те, кто не видят реальной проблемы должны бросить IT и идти копать канавы.

bitbucket

bitbucket

Posted
Posted
IRR filters helps prevent *accidental* hijacking and *accidental* route spillage. In that, they seem to do their job. I don't know why people think that would help prevent a deliberate hijacking job.

© Deepak Jain

 

Те, кто не видят реальной проблемы должны бросить IT и идти копать канавы.

А теперь подробно и по русски.
ram_scan

ram_scan

Posted
Posted

Гонево полное (в смысле нагнетание обстановки). Шляпа вся насколько я понимаю как раз в том что можно мимо всех фильтров маршрут нужный просунуть. А для того чтобы связность покрошить достаточно штатных средств (покажите мне пальцем кто параноидально предохраняется). Достаточно вспомнить как на ближнем востоке давеча "элитные специалисты" гугль кривым анонсом побанили. Было бы желание - давно бы шухер устроили. dns cache poisoning в смысле устроения катастрофы намного опаснее. Его вообще каждый дурак сделать может. Давеча вон ефнет скрипткидди епонские хорошо заколбасили.

kostich

kostich

Posted
Posted
dns cache poisoning в смысле устроения катастрофы намного опаснее.

Фича с arp работает практически в каждом штатовском ДЦ... в некоторых ДЦ можно поднять у себя dhcp и всю хрень для remote boot и тупо получать рутов на чужих серверах после их ребута, чем там львиная доля рашин пионеров и занимается.

tgz

tgz

Posted
Posted
Гонево полное (в смысле нагнетание обстановки). Шляпа вся насколько я понимаю как раз в том что можно мимо всех фильтров маршрут нужный просунуть. А для того чтобы связность покрошить достаточно штатных средств (покажите мне пальцем кто параноидально предохраняется). Достаточно вспомнить как на ближнем востоке давеча "элитные специалисты" гугль кривым анонсом побанили. Было бы желание - давно бы шухер устроили. dns cache poisoning в смысле устроения катастрофы намного опаснее. Его вообще каждый дурак сделать может. Давеча вон ефнет скрипткидди епонские хорошо заколбасили.

После нарушения связности тебя найдут через 15 минут. Тут все хитрее, можно пропустить через себя трафик чужой AS не нарушая никакой связности. Проблема нелегитимных анонсов. А все потому что предохраняться от этого нам предписали исключительно административными мерами. И естественно что находится вагон уродов, кладущих на это болт. А в итоге пострадать может _любой_ участник сети. Вам этого мало?

 

 

kostich

kostich

Posted
Posted (edited)
После нарушения связности тебя найдут через 15 минут. Тут все хитрее, можно пропустить через себя трафик чужой AS не нарушая никакой связности. Проблема нелегитимных анонсов. А все потому что предохраняться от этого нам предписали исключительно административными мерами. И естественно что находится вагон уродов, кладущих на это болт. А в итоге пострадать может _любой_ участник сети. Вам этого мало?

надо читать лекцию про сие трабл андерстендинг... короче фигня это всё, документированная.

 

ps. даже без этой фичи участников сети страдает вагон и телега.

Edited by kostich
tgz

tgz

Posted
Posted

Могли бы и сами найти

https://www.defcon.org/images/defcon-16/dc1...osov-kapela.pdf

 

надо читать лекцию про сие трабл андерстендинг... короче фигня это всё, документированная.

Где документированно?

 

ps. даже без этой фичи участников сети страдает вагон и телега.

Хорошая у вас логика. Примерно как если от меня жена ушла, то и в попу давать

не грех.

 

ram_scan

ram_scan

Posted
Posted
После нарушения связности тебя найдут через 15 минут. Тут все хитрее, можно пропустить через себя трафик чужой AS не нарушая никакой связности. Проблема нелегитимных анонсов. А все потому что предохраняться от этого нам предписали исключительно административными мерами. И естественно что находится вагон уродов, кладущих на это болт. А в итоге пострадать может _любой_ участник сети. Вам этого мало?

Пострадать и сейчас может любой участник сети, достаточно криворукого спеца за рутер пустить. Прочел я отчетец. Не осилил пактического применения "уязвимости" (фактически это фича которая накер никому нужна не была). Плейн пароли у быдлоюзеров коммуниздить ? Если поспуфать или потравить днс кэш может вообще практически любой человек с улицы, то пошаманить с BGP может только человек который имеет на это административные привелегии. Легально. Даже если каждого спеца который рулит AS априори считать подонком, то сравните количество этих спецов и количество хотя-бы протрояненых тачек с виндой. Механизм такого шаманства документирован черти когда, а скрытие хижакера с помощью правки TTL многажды пройдено (это еще пионеры в локалках наты от оператора так прятали). Паника на ровном месте, на дефконе просто показали "а смотрите как мы прикольно BGP настроить умеем". Ну умеют - молодцы. Также было показано что большинство народу рутер настроить не умеют, а если умеют то настраивают через copy-paste из книжки издательства cisco-press, и что надо решать этот вопрос административно.

 

В том-же STP подобная херь реализуется вообще одной строкой в конфиге (достаточно себя как конревой бридж проанонсировать), и никто из операторов отчего-то не вопит что "мне клиент отсылкой кривого bpdu сеть положил" и что надвигается информационная катастрофа.

kostich

kostich

Posted
Posted
и никто из операторов отчего-то не вопит что "мне клиент отсылкой кривого bpdu сеть положил" и что надвигается информационная катастрофа.

еще как орут... когда это bpdu на клиенском порту фильтрануть забывают :)

 

 

kostich

kostich

Posted
Posted (edited)
Где документированно?

в доке по BGP?

 

ps. даже без этой фичи участников сети страдает вагон и телега.
Хорошая у вас логика. Примерно как если от меня жена ушла, то и в попу давать

не грех.

логика до дури простая - если есть угроза снифинга (а она всегда есть), то пользуйтесь криптосредствами.

 

ps. а в бизнесе по продаже транзита и так у кого as-path короче того и бабки... часть трафика и без таких брутальных ***ств с более короткими раутами можно через себя завернуть и хер предъявишь потом...

Edited by kostich
tgz

tgz

Posted
Posted
Пострадать и сейчас может любой участник сети, достаточно криворукого спеца за

рутер пустить. Прочел я отчетец. Не осилил пактического применения

"уязвимости" (фактически это фича которая накер никому нужна не была). Плейн

пароли у быдлоюзеров коммуниздить ? Если поспуфать или потравить днс кэш может

вообще практически любой человек с улицы, то пошаманить с BGP может только

человек который имеет на это административные привелегии. Легально. Даже если

каждого спеца который рулит AS априори считать подонком, то сравните

количество этих спецов и количество хотя-бы протрояненых тачек с виндой.

Механизм такого шаманства документирован черти когда, а скрытие хижакера с

помощью правки TTL многажды пройдено (это еще пионеры в локалках наты от

оператора так прятали). Паника на ровном месте, на дефконе просто показали "а

смотрите как мы прикольно BGP настроить умеем". Ну умеют - молодцы. Также было

показано что большинство народу рутер настроить не умеют, а если умеют то

настраивают через copy-paste из книжки издательства cisco-press, и что надо

решать этот вопрос административно.

 

В том-же STP подобная херь реализуется вообще одной строкой в конфиге (достаточно себя как конревой бридж проанонсировать), и никто из операторов отчего-то не вопит что "мне клиент отсылкой кривого bpdu сеть положил" и что надвигается информационная катастрофа.

1. От любителей насрать в DNS cache можно защищаться. Пропатчил софтинку и

забыл.

2. Пример с stp неудачный. Надо разделять где у нас inter-as, а где intra-as.

Две большие разницы.

3. Наивно полагать что так можно украсть только plain passwords. Любой сервис

на ssl, куда пользователи ходят без установленного сертификата (переданного

или подписанного альтернативными защищенными путями) находится под угрозой.

Спуфаю я префикс, где живет какой-нибудь rzd.ru (анальные интервенты, но это к

слову). И через сутки у меня список кредитных карт с кодами длинною в

километр. Да, это и сейчас могут сделать те же инженеры любого магистрала. Но

это не дает повод утверждать что проблемы, описанной на defcon не существует и

на нее можно забить болт. Нет, я понимаю, что большинству тут присутствующих

насрать. Неуловимый Джо никому нахер не сдался. Но это уже смахивает на

какую-то пассивную проституцию...

 

 

в доке по BGP?

Там так прямо и пишут как угнать чужой префикс?

 

логика до дури простая - если есть угроза снифинга (а она всегда есть), то пользуйтесь криптосредствами.

 

ps. а в бизнесе по продаже транзита и так у кого as-path короче того и бабки... часть трафика и без таких брутальных ***ств с более короткими раутами можно через себя завернуть и хер предъявишь потом...

Про криптосредства я выше написал уже.

Описание метода "завернуть через себя" в студию!

 

Z1oy

Z1oy

Posted
Posted

эк вас забрало то

не читайте советских газет по утрам (с) а то так и руки на себя наложите :-)

 

что мешает по вашей логике и без шаманств с бгп снифать трафег инженерам транзитных операторов ?)

открою вам великую тайну: нормальные операторы фильтруют входящие анонсы ;-)

visir

visir

Posted
Posted (edited)
вот например MSK-IX фильтруют входящие анонсы в соответствии с БД Райпа. и прально. так и надо.
Совершенно очевидно, что это не поможет. Дело тут вот в чем: фильтры строятся скриптами на основе информации, которую может модифицировать злоумышленник.

Например: для AS12345 скрипт строит фильтр для приемки от него as-set AS-XXX -- это задается фильтрующим (IX в данном случае). Но информацию в AS-XXX вносит владелец AS12345, а не IX. И ничто не помешает ему внести в этот as-set что угодно, а IX построит фильтр, принимающий это.

Даже если фильтр строит не скрипт, а человек... или если as-set будет вести фильтрующий, а не фильтруемый... Спасти сможет только то, что этот человек имеет высокую квалификацию, причем не только техническую, но и знает рынок -- например знает, что AS-DOMONET1 с AS-DOMONET2 заклятые враги и никогда не будут ходить в инет друг через друга, зато постоянно гадят друг другу.

Анализ import/export в длинных цепочках AS-ок может оказаться не таким простым, как кажется на первый взгляд. Скрипты такого анализа не делают, по крайне мере те, что я видел.

 

ИМХО для того, чтобы этот механизм помог, нужно ввести механизм разрешения добавления а as-set. На подобие того, который уже используется для создания объектов route (mnt-routes).

Edited by visir
kostich

kostich

Posted
Posted
в доке по BGP?

Там так прямо и пишут как угнать чужой префикс?

там как бы пишут™, а как это уже будут использовать их не волнует :)

 

логика до дури простая - если есть угроза снифинга (а она всегда есть), то пользуйтесь криптосредствами.

 

ps. а в бизнесе по продаже транзита и так у кого as-path короче того и бабки... часть трафика и без таких брутальных ***ств с более короткими раутами можно через себя завернуть и хер предъявишь потом...

Описание метода "завернуть через себя" в студию!

нужно выложить в инет пошаговое руководство для получения возможности анонсов с выставленными/перевыставленным руками as-path?

 

 

 

 

открою вам великую тайну: нормальные операторы фильтруют входящие анонсы ;-)

а мужики то не знают :)

 

ps. среди пиров есть 2 или 3 tier1... чо там фильтровать?

visir

visir

Posted
Posted (edited)

Еще вдогонку. Многие используют whois.radb.net для составления фильтров, не указывая ему конкретные базы данных для поиска -- а по умолчанию он ищет еще и, скажем, в бд LEVEL3. Результат поражает воображение: пропускаем в инет маршрут, для которого в RIPE не создан объект route... через неделю такой объект появляется в бд LEVEL3 с комментарием в духе "ну такой же префикс гуляет по инету, поэтому, на всякий случай, создали для него объект route". И теперь скрипт генерации фильтров... ну вы поняли :) Вот вам и tier1.

Edited by visir

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.