RFC4272 日本語訳
4272 BGP Security Vulnerabilities Analysis. S. Murphy. January 2006. (Format: TXT=53119 bytes) (Status: INFORMATIONAL)
プログラムでの自動翻訳です。
RFC一覧
英語原文
Network Working Group S. Murphy Request for Comments: 4272 Sparta, Inc. Category: Informational January 2006
コメントを求めるワーキンググループS.マーフィー要求をネットワークでつないでください: 4272年のスパルタInc.カテゴリ: 情報の2006年1月
BGP Security Vulnerabilities Analysis
BGPセキュリティの脆弱性分析
Status of This Memo
このメモの状態
This memo provides information for the Internet community. It does not specify an Internet standard of any kind. Distribution of this memo is unlimited.
このメモはインターネットコミュニティのための情報を提供します。 それはどんな種類のインターネット標準も指定しません。 このメモの分配は無制限です。
Copyright Notice
版権情報
Copyright (C) The Internet Society (2006).
Copyright(C)インターネット協会(2006)。
Abstract
要約
Border Gateway Protocol 4 (BGP-4), along with a host of other infrastructure protocols designed before the Internet environment became perilous, was originally designed with little consideration for protection of the information it carries. There are no mechanisms internal to BGP that protect against attacks that modify, delete, forge, or replay data, any of which has the potential to disrupt overall network routing behavior.
ボーダ・ゲイトウェイ・プロトコル4(BGP-4)は元々、インターネット環境が危険になる前に設計された他の多くのインフラストラクチャプロトコルと共にそれが運ぶ情報の保護のための少ない考慮で設計されました。 それのいずれにはも総合的なネットワークルーティングの振舞いを中断する可能性があるデータを変更するか、削除するか、鍛造するか、または再演する攻撃から守るBGPへの内部のどんなメカニズムもありません。
This document discusses some of the security issues with BGP routing data dissemination. This document does not discuss security issues with forwarding of packets.
このドキュメントはBGPルーティングデータ配布の安全保障問題のいくつかについて議論します。 このドキュメントはパケットの推進の安全保障問題について議論しません。
Murphy Informational [Page 1] RFC 4272 BGP Security Vulnerabilities Analysis January 2006
[1ページ]RFC4272BGPセキュリティの脆弱性分析2006年1月の情報のマーフィー
Table of Contents
目次
1. Introduction ....................................................3
1.1. Specification of Requirements ..............................5
2. Attacks .........................................................6
3. Vulnerabilities and Risks .......................................7
3.1. Vulnerabilities in BGP Messages ............................8
3.1.1. Message Header ......................................9
3.1.2. OPEN ................................................9
3.1.3. KEEPALIVE ..........................................11
3.1.4. NOTIFICATION .......................................11
3.1.5. UPDATE .............................................11
3.1.5.1. Unfeasible Routes Length, Total
Path Attribute Length .....................12
3.1.5.2. Withdrawn Routes ..........................13
3.1.5.3. Path Attributes ...........................13
3.1.5.4. NLRI ......................................16
3.2. Vulnerabilities through Other Protocols ...................16
3.2.1. TCP Messages .......................................16
3.2.1.1. TCP SYN ...................................16
3.2.1.2. TCP SYN ACK ...............................17
3.2.1.3. TCP ACK ...................................17
3.2.1.4. TCP RST/FIN/FIN-ACK .......................17
3.2.1.5. DoS and DDos ..............................18
3.2.2. Other Supporting Protocols .........................18
3.2.2.1. Manual Stop ...............................18
3.2.2.2. Open Collision Dump .......................18
3.2.2.3. Timer Events ..............................18
4. Security Considerations ........................................19
4.1. Residual Risk .............................................19
4.2. Operational Protections ...................................19
5. References .....................................................21
5.1. Normative References ......................................21
5.2. Informative References ....................................21
1. 序論…3 1.1. 要件の仕様…5 2. 攻撃…6 3. 脆弱性とリスク…7 3.1. BGPメッセージの脆弱性…8 3.1.1. メッセージヘッダー…9 3.1.2. 開いてください…9 3.1.3. KEEPALIVE…11 3.1.4. 通知…11 3.1.5. アップデートします。11 3.1.5.1. 実行不可能なルートの長さ、総経路属性の長さ…12 3.1.5.2. ルートを引っ込めます…13 3.1.5.3. 経路属性…13 3.1.5.4. NLRI…16 3.2. 他のプロトコルを通した脆弱性…16 3.2.1. TCPメッセージ…16 3.2.1.1. TCP SYN…16 3.2.1.2. TCP SYN ACK…17 3.2.1.3. TCP ACK…17 3.2.1.4. フィンTCP RST/フィン/ACK…17 3.2.1.5. DoSとDDos…18 3.2.2. 他のサポートプロトコル…18 3.2.2.1. 手動の停止…18 3.2.2.2. 衝突ダンプを開いてください…18 3.2.2.3. タイマイベント…18 4. セキュリティ問題…19 4.1. 残りのリスク…19 4.2. 操作上の保護…19 5. 参照…21 5.1. 標準の参照…21 5.2. 有益な参照…21
Murphy Informational [Page 2] RFC 4272 BGP Security Vulnerabilities Analysis January 2006
[2ページ]RFC4272BGPセキュリティの脆弱性分析2006年1月の情報のマーフィー
1. Introduction
1. 序論
The inter-domain routing protocol BGP was created when the Internet environment had not yet reached the present, contentious state. Consequently, the BGP design did not include protections against deliberate or accidental errors that could cause disruptions of routing behavior.
インターネット環境がまだ現在の、そして、議論好きな状態に達していなかったとき、相互ドメインルーティング・プロトコルBGPは作成されました。 その結果、BGPデザインはルーティングの振舞いの分裂を引き起こす場合があった慎重であるか偶然の誤りに対する保護を含んでいませんでした。
This document discusses the vulnerabilities of BGP, based on the BGP specification [RFC4271]. Readers are expected to be familiar with the BGP RFC and the behavior of BGP.
このドキュメントはBGP仕様[RFC4271]に基づいてBGPの脆弱性について議論します。 読者がBGP RFCとBGPの動きによく知られさせると予想されます。
It is clear that the Internet is vulnerable to attack through its routing protocols and BGP is no exception. Faulty, misconfigured, or deliberately malicious sources can disrupt overall Internet behavior by injecting bogus routing information into the BGP-distributed routing database (by modifying, forging, or replaying BGP packets). The same methods can also be used to disrupt local and overall network behavior by breaking the distributed communication of information between BGP peers. The sources of bogus information can be either outsiders or true BGP peers.
ルーティング・プロトコルを通して攻撃するのがインターネットが被害を受け易いのが明確であり、BGPは例外ではありません。 不完全です、misconfiguredされたか、故意に悪意があるソースはBGPによって分配されたルーティングデータベース(BGPパケットを変更するか、鍛造するか、または再演するのによる)ににせのルーティング情報を注ぐことによって、総合的なインターネットの振舞いを中断できます。 また、BGP同輩の間の情報の分配されたコミュニケーションを知らせることによって地方的、そして、総合的なネットワークの振舞いを中断するのに同じメソッドを使用できます。 にせの情報の源は、部外者か本当のBGP同輩のどちらかであるかもしれません。
Cryptographic authentication of peer-peer communication is not an integral part of BGP. As a TCP/IP protocol, BGP is subject to all TCP/IP attacks, e.g., IP spoofing, session stealing, etc. Any outsider can inject believable BGP messages into the communication between BGP peers, and thereby inject bogus routing information or break the peer-peer connection. Any break in the peer-peer communication has a ripple effect on routing that can be widespread. Furthermore, outsider sources can also disrupt communications between BGP peers by breaking their TCP connection with spoofed packets. Outsider sources of bogus BGP information can reside anywhere in the world.
同輩同輩コミュニケーションの暗号の認証はBGPの不可欠の部分ではありません。 TCP/IPプロトコル、BGPはすべてのTCP/IP攻撃を受けることがあるので例えば、IPスプーフィング、セッション横取りすることなど。 どんな部外者も、BGP同輩のコミュニケーションに信用できるBGPメッセージを注いで、その結果、にせのルーティング情報を注入するか、または同輩同輩接続を調教できます。 同輩同輩コミュニケーションにおけるどんな中断も広範囲である場合があるルーティングに波及効果を持っています。 その上、また、部外者ソースは、偽造しているパケットとの彼らのTCP接続を調教することによって、BGP同輩の通信システムを遮断できます。 にせのBGP情報の部外者源は世界でどこでも住むことができます。
Consequently, the current BGP specification requires that a BGP implementation must support the authentication mechanism specified in [TCPMD5]. However, the requirement for support of that authentication mechanism cannot ensure that the mechanism is configured for use. The mechanism of [TCPMD5] is based on a pre- installed, shared secret; it does not have the capability of IPsec [IPsec] to agree on a shared secret dynamically. Consequently, the use of [TCPMD5] must be a deliberate decision, not an automatic feature or a default.
その結果、現在のBGP仕様は、BGP実装が[TCPMD5]で指定された認証機構をサポートしなければならないのを必要とします。 しかしながら、その認証機構のサポートのための要件は、メカニズムが使用のために構成されるのを確実にすることができません。 [TCPMD5]のメカニズムはあらかじめインストールされて、共有された秘密に基づいています。 それには、IPsec[IPsec]がダイナミックに共有秘密キーに同意する能力がありません。 その結果、[TCPMD5]の使用は自動特徴かデフォルトではなく、慎重な決定であるに違いありません。
The current BGP specification also allows for implementations that would accept connections from "unconfigured peers" ([RFC4271] Section 8). However, the specification is not clear as to what an unconfigured peer might be, or how the protections of [TCPMD5] would
また、現在のBGP仕様は「非構成された同輩」([RFC4271]セクション8)から接続を受け入れる実装を考慮します。 しかしながら、仕様は何で非構成された同輩がそうですかそれともどのようにが保護であるかに関して明確でないでしょう[TCPMD5]。
Murphy Informational [Page 3] RFC 4272 BGP Security Vulnerabilities Analysis January 2006
[3ページ]RFC4272BGPセキュリティの脆弱性分析2006年1月の情報のマーフィー
apply in such a case. Therefore, it is not possible to include an analysis of the security issues of this feature. When a specification that describes this feature more fully is released, a security analysis should be part of that specification.
このような場合には適用してください。 したがって、この特徴の安全保障問題の分析を含んでいるのは可能ではありません。 この特徴について説明する仕様が、より完全に発表されるとき、証券分析はその仕様の一部であるべきです。
BGP speakers themselves can inject bogus routing information, either by masquerading as any other legitimate BGP speaker, or by distributing unauthorized routing information as themselves. Historically, misconfigured and faulty routers have been responsible for widespread disruptions in the Internet. The legitimate BGP peers have the context and information to produce believable, yet bogus, routing information, and therefore have the opportunity to cause great damage. The cryptographic protections of [TCPMD5] and operational protections cannot exclude the bogus information arising from a legitimate peer. The risk of disruptions caused by legitimate BGP speakers is real and cannot be ignored.
BGPスピーカー自身は、いかなる他の正統のBGPスピーカーもふりをするか、または自分たちとして権限のないルーティング情報を分配することによって、にせのルーティング情報を注入できます。 misconfiguredされて不完全なルータはインターネットでの広範囲の分裂に歴史的に、原因となっています。 正統のBGP同輩は、情報を発送して、作り出す文脈と情報を信用できて、しかし、にせにして、したがって、甚大な被害を引き起こす機会を持っています。 [TCPMD5]と操作上の保護の暗号の保護はにせの情報の起こることを正統の同輩に入れないようにすることができません。 正統のBGPスピーカーによって引き起こされた分裂の危険は、本当であり、無視できません。
Bogus routing information can have many different effects on routing behavior. If the bogus information removes routing information for a particular network, that network can become unreachable for the portion of the Internet that accepts the bogus information. If the bogus information changes the route to a network, then packets destined for that network may be forwarded by a sub-optimal path, or by a path that does not follow the expected policy, or by a path that will not forward the traffic. Consequently, traffic to that network could be delayed by a path that is longer than necessary. The network could become unreachable from areas where the bogus information is accepted. Traffic might also be forwarded along a path that permits some adversary to view or modify the data. If the bogus information makes it appear that an autonomous system originates a network when it does not, then packets for that network may not be deliverable for the portion of the Internet that accepts the bogus information. A false announcement that an autonomous systems originates a network may also fragment aggregated address blocks in other parts of the Internet and cause routing problems for other networks.
にせのルーティング情報は多くの異なった影響をルーティングの振舞いに与えることができます。 にせの情報が特定のネットワークのためのルーティング情報を取り除くなら、そのネットワークはにせの情報を受け入れるインターネットの部分に手が届かなくなることができます。 にせの情報がルートをネットワークに変えるなら、サブ最適経路、予想された方針に従わない経路、またはトラフィックを進めない経路はそのネットワークのために運命づけられたパケットを進めるかもしれません。 その結果、そのネットワークへのトラフィックは必要とするより長い経路で遅れることができました。 ネットワークはにせの情報が受け入れられる領域から手が届かなくなることができました。 また、敵がデータを見るか、または変更することを許可する経路に沿ってトラフィックを進めるかもしれません。 させないとき、にせの情報が自律システムがネットワークを溯源するのを現れさせるなら、そのネットワークのためのパケットはにせの情報を受け入れるインターネットの部分への提出物でないかもしれません。 また、自律システムがネットワークを溯源するという虚偽の発表は他のネットワークのためにインターネットと原因ルーティング問題の他の部分の集められたあて先ブロックを断片化するかもしれません。
The damages that might result from these attacks include:
これらの攻撃から生じるかもしれない損害賠償は:
starvation: Data traffic destined for a node is forwarded to a
part of the network that cannot deliver it.
飢餓: それを提供できないネットワークの一部にノードのために運命づけられたデータ通信量を送ります。
network congestion: More data traffic is forwarded through some
portion of the network than would otherwise need to carry the
traffic.
混雑をネットワークでつないでください: そうでなければ、トラフィックを運ぶのが必要であるだろうというよりもネットワークの何らかの一部を通してさらに多くのデータ通信量を進めます。
Murphy Informational [Page 4] RFC 4272 BGP Security Vulnerabilities Analysis January 2006
[4ページ]RFC4272BGPセキュリティの脆弱性分析2006年1月の情報のマーフィー
blackhole: Large amounts of traffic are directed to be forwarded
through one router that cannot handle the increased level of
traffic and drops many/most/all packets.
blackhole: 多量のトラフィックが進めて、/がそれが増強されたレベルを扱うことができないあるルータを通して、多くである、またはだいたいで取引して、低下しているということであるよう指示されます。すべてのパケット。
delay: Data traffic destined for a node is forwarded along a path
that is in some way inferior to the path it would otherwise take.
遅れ: そうでなければそれが取る経路に劣った何らかの方法である経路に沿ってノードのために運命づけられたデータ通信量を進めます。
looping: Data traffic is forwarded along a path that loops, so
that the data is never delivered.
ループ: 輪にされる経路に沿ってデータ通信量を進めるので、データは決して提供されません。
eavesdrop: Data traffic is forwarded through some router or
network that would otherwise not see the traffic, affording an
opportunity to see the data.
盗み聞きます: 別の方法でトラフィックを見ない何らかのルータかネットワークを通してデータ通信量を進めます、データを見る機会を提供して。
partition: Some portion of the network believes that it is
partitioned from the rest of the network, when, in fact, it is
not.
パーティション: ネットワークの何らかの一部が、それがネットワークの残りから仕切られると信じています、事実上、それがそうでないときに。
cut: Some portion of the network believes that it has no route to
some network to which it is, in fact, connected.
以下を切ってください。 ネットワークの何らかの一部が、事実上、関連づけられる何らかのネットワークにルートを全く持っていないと信じています。
churn: The forwarding in the network changes at a rapid pace,
resulting in large variations in the data delivery patterns (and
adversely affecting congestion control techniques).
以下をかきまぜてください。 急速なペースにおけるネットワーク変化における推進、データ配送の大きい変化をもたらすのは型に基づいて作ります(混雑制御方法に悪影響を与えて)。
instability: BGP becomes unstable in such a way that convergence
on a global forwarding state is not achieved.
不安定性: BGPはグローバルな推進状態における集合が達成されないような方法で不安定になります。
overload: The BGP messages themselves become a significant portion
of the traffic the network carries.
以下を積みすぎてください。 BGPメッセージ自体はネットワークが運ぶトラフィックの重要な部分になります。
resource exhaustion: The BGP messages themselves cause exhaustion
of critical router resources, such as table space.
リソース疲労困憊: BGPメッセージ自体はテーブルスペースなどの重要なルータリソースの疲労困憊を引き起こします。
address-spoofing: Data traffic is forwarded through some router or
network that is spoofing the legitimate address, thus enabling an
active attack by affording the opportunity to modify the data.
アドレススプーフィング: 正統のアドレスを偽造している何らかのルータかネットワークを通してデータ通信量を進めます、その結果、データを変更する機会を提供することによって、活発な攻撃を可能にします。
These consequences can fall exclusively on one end-system prefix or may effect the operation of the network as a whole.
これらの結果は、排他的に片端システム接頭語の責任となることができるか、または全体でネットワークの操作に作用するかもしれません。
1.1. Specification of Requirements
1.1. 要件の仕様
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in RFC2119 [RFC2119].
キーワード“MUST"、「必須NOT」が「必要です」、“SHALL"、「」、“SHOULD"、「「推薦され」て、「5月」の、そして、「任意」のNOTはRFC2119[RFC2119]で説明されるように本書では解釈されることであるべきですか?
Murphy Informational [Page 5] RFC 4272 BGP Security Vulnerabilities Analysis January 2006
[5ページ]RFC4272BGPセキュリティの脆弱性分析2006年1月の情報のマーフィー
2. Attacks
2. 攻撃
BGP, in and of itself, is subject to the following attacks. (The list is taken from the IAB RFC that provides guidelines for the "Security Considerations" section of RFCs [SecCons].)
BGPはそういうものとして以下の攻撃を受けることがあります。 (RFCs[SecCons]の「セキュリティ問題」セクションのためのガイドラインを提供するIAB RFCからリストを取ります。)
confidentiality violations: The routing data carried in BGP is
carried in cleartext, so eavesdropping is a possible attack
against routing data confidentiality. (Routing data
confidentiality is not a common requirement.)
秘密性違反: BGPで運ばれたルーティングデータがcleartextで運ばれるので、盗聴はルーティングデータの機密性に対する可能な攻撃です。 (ルート設定データの機密性は一般的な要件ではありません。)
replay: BGP does not provide for replay protection of its
messages.
以下を再演してください。 BGPはメッセージの反復操作による保護に備えません。
message insertion: BGP does not provide protection against
insertion of messages. However, because BGP uses TCP, when the
connection is fully established, message insertion by an outsider
would require accurate sequence number prediction (not entirely
out of the question, but more difficult with mature TCP
implementations) or session-stealing attacks.
メッセージ挿入: BGPはメッセージの挿入に対する保護を提供しません。 しかしながら、接続が完全に確立されるとき、BGPがTCPを使用するので、部外者によるメッセージ挿入は正確な一連番号予測(熟しているTCP実装をもって、より難しい完全に論外ではなく、)かセッションを横取りする攻撃を必要とするでしょう。
message deletion: BGP does not provide protection against
deletion of messages. Again, this attack is more difficult
against a mature TCP implementation, but is not entirely out of
the question.
メッセージ削除: BGPはメッセージの削除に対する保護を提供しません。 一方、この攻撃は、熟しているTCP実装に対して、より難しいのですが、完全に論外ではありません。
message modification: BGP does not provide protection against
modification of messages. A modification that was syntactically
correct and did not change the length of the TCP payload would in
general not be detectable.
メッセージ変更: BGPはメッセージの変更に対する保護を提供しません。 一般に、シンタクス上正しく、TCPペイロードの長さを変えなかった変更は検出可能でないでしょう。
man-in-the-middle: BGP does not provide protection against man-
in-the-middle attacks. As BGP does not perform peer entity
authentication, a man-in-the-middle attack is child's play.
中央の男性: BGPは中央での男性攻撃に対する保護を提供しません。 BGPが同輩実体認証を実行しないとき、介入者攻撃は朝飯前です。
denial of service: While bogus routing data can present a denial
of service attack on the end systems that are trying to transmit
data through the network and on the network infrastructure itself,
certain bogus information can represent a denial of service on the
BGP routing protocol. For example, advertising large numbers of
more specific routes (i.e., longer prefixes) can cause BGP traffic
and router table size to increase, even explode.
サービスの否定: にせのルーティングデータがネットワークを通してデータを送ろうとしているエンドシステムの上と、そして、ネットワークインフラ自体の上にサービス不能攻撃を示すことができる間、あるにせの情報はBGPルーティング・プロトコルにおけるサービスの否定を表すことができます。 例えば、多くの、より特定のルート(すなわち、より長い接頭語)の広告を出すと、トラフィックと増強して、爆発させるのさえルータテーブル・サイズはBGPに引き起こされる場合があります。
The mandatory-to-support mechanism of [TCPMD5] will counter message insertion, deletion, and modification, man-in-the-middle and denial of service attacks from outsiders. The use of [TCPMD5] does not protect against eavesdropping attacks, but routing data confidentiality is not a goal of BGP. The mechanism of [TCPMD5] does
[TCPMD5]のサポートするために義務的なメカニズムは部外者からメッセージ挿入、削除、変更、中央の人、およびサービス不能攻撃に対抗するでしょう。 [TCPMD5]の使用は盗聴攻撃から守りませんが、ルーティングデータの機密性はBGPの目標ではありません。 [TCPMD5]のメカニズムはそうします。
Murphy Informational [Page 6] RFC 4272 BGP Security Vulnerabilities Analysis January 2006
[6ページ]RFC4272BGPセキュリティの脆弱性分析2006年1月の情報のマーフィー
not protect against replay attacks, so the only protection against replay is provided by the TCP sequence number processing. Therefore, a replay attack could be mounted against a BGP connection protected with [TCPMD5] but only in very carefully timed circumstances. The mechanism of [TCPMD5] cannot protect against bogus routing information that originates from an insider.
TCP一連番号処理で再生に対する唯一の保護を提供するために反射攻撃から守ってください。 したがって、[TCPMD5]にもかかわらず、非常に慎重に調節された事情だけに保護されたBGP接続に対して反射攻撃を取り付けることができました。 [TCPMD5]のメカニズムはインサイダーから発するにせのルーティング情報から守ることができません。
3. Vulnerabilities and Risks
3. 脆弱性とリスク
The risks in BGP arise from three fundamental vulnerabilities:
BGPのリスクが3つの基本的な脆弱性から発生します:
(1) BGP has no internal mechanism that provides strong protection of
the integrity, freshness, and peer entity authenticity of the
messages in peer-peer BGP communications.
(1) BGPには、保全、新しさ、および同輩同輩BGPコミュニケーションにおける、メッセージの同輩実体の信憑性の強い保護を提供するどんな内部のメカニズムもありません。
(2) no mechanism has been specified within BGP to validate the
authority of an AS to announce NLRI information.
(2) メカニズムは、全くASがNLRI情報を発表する権威を有効にするためにBGPの中で指定されていません。
(3) no mechanism has been specified within BGP to ensure the
authenticity of the path attributes announced by an AS.
(3) メカニズムは、全くASによって発表された経路属性の信憑性を確実にするためにBGPの中で指定されていません。
The first fundamental vulnerability motivated the mandated support of [TCPMD5] in the BGP specification. When the support of [TCPMD5] is employed, message integrity and peer entity authentication are provided. The mechanism of [TCPMD5] assumes that the MD5 algorithm is secure and that the shared secret is protected and chosen to be difficult to guess.
最初の基本的な脆弱性はBGP仕様に基づく、[TCPMD5]の強制されたサポートを動機づけました。 [TCPMD5]のサポートが採用しているとき、メッセージの保全と同輩実体認証を提供します。 [TCPMD5]のメカニズムは、共有秘密キーが推測するのが難しいようにMD5アルゴリズムが安全であり、保護されて、選ばれていると仮定します。
In the discussion that follows, the vulnerabilities are described in terms of the BGP Finite State Machine events. The events are defined and discussed in section 8 of [RFC4271]. The events mentioned here are:
続く議論では、脆弱性はBGP Finite州Machineイベントで説明されます。 [RFC4271]のセクション8でイベントについて、定義されて、議論します。 ここに言及されたイベントは以下の通りです。
[Administrative Events]
[管理イベント]
Event 2: ManualStop
イベント2: ManualStop
Event 8: AutomaticStop
イベント8: AutomaticStop
[Timer Events]
[タイマイベント]
Event 9: ConnectRetryTimer_Expires
イベント9: ConnectRetryTimer_は期限が切れます。
Event 10: HoldTimer_Expires
イベント10: HoldTimer_は期限が切れます。
Event 11: KeepaliveTimer_Expires
イベント11: KeepaliveTimer_は期限が切れます。
Event 12: DelayOpenTimer_Expires
イベント12: DelayOpenTimer_は期限が切れます。
Murphy Informational [Page 7] RFC 4272 BGP Security Vulnerabilities Analysis January 2006
[7ページ]RFC4272BGPセキュリティの脆弱性分析2006年1月の情報のマーフィー
Event 13: IdleHoldTimer_Expires
イベント13: IdleHoldTimer_は期限が切れます。
[TCP Connection based Events]
[TCP ConnectionのベースのEvents]
Event 14: TcpConnection_Valid
イベント14: TcpConnection_有効です。
Event 16: Tcp_CR_Acked
イベント16: Tcp_CR_Acked
Event 17: TcpConnectionConfirmed
イベント17: TcpConnectionConfirmed
Event 18: TcpConnectionFails
イベント18: TcpConnectionFails
[BGP Messages based Events]
[BGP MessagesのベースのEvents]
Event 19: BGPOpen
イベント19: BGPOpen
Event 20: BGPOpen with DelayOpenTimer running
イベント20: DelayOpenTimerが稼働であっている中のBGPOpen
Event 21: BGPHeaderErr
イベント21: BGPHeaderErr
Event 22: BGPOpenMsgErr
イベント22: BGPOpenMsgErr
Event 23: OpenCollisionDump
イベント23: OpenCollisionDump
Event 24: NotifMsgVerErr
イベント24: NotifMsgVerErr
Event 25: NotifMsg
イベント25: NotifMsg
Event 26: KeepAliveMsg
イベント26: KeepAliveMsg
Event 27: UpdateMsg
イベント27: UpdateMsg
Event 28: UpdateMsgErr
イベント28: UpdateMsgErr
3.1. Vulnerabilities in BGP Messages
3.1. BGPメッセージの脆弱性
There are four different BGP message types - OPEN, KEEPALIVE, NOTIFICATION, and UPDATE. This section contains a discussion of the vulnerabilities arising from each message and the ability of outsiders or BGP peers to exploit the vulnerabilities. To summarize, outsiders can use bogus OPEN, KEEPALIVE, NOTIFICATION, or UPDATE messages to disrupt the BGP peer-peer connections. They can use bogus UPDATE messages to disrupt routing without breaking the peer- peer connection. Outsiders can also disrupt BGP peer-peer connections by inserting bogus TCP packets that disrupt the TCP connection processing. In general, the ability of outsiders to use bogus BGP and TCP messages is limited, but not eliminated, by the TCP sequence number processing. The use of [TCPMD5] can counter these
4の異なったBGPはメッセージタイプです--そこでは、オープン、KEEPALIVE、NOTIFICATION、およびUPDATE? このセクションは各メッセージから起こる脆弱性の議論と脆弱性を利用する部外者かBGP同輩の能力を含みます。 まとめるのに使用する、部外者はにせのオープン、KEEPALIVE、NOTIFICATION、またはBGP同輩同輩接続を中断するUPDATEメッセージを使用できます。 彼らは同輩同輩接続を調教しないでルーティングを混乱させるにせのUPDATEメッセージを使用できます。 また、アウトサイダーは、TCP接続処理を中断するにせのTCPパケットを挿入することによって、BGP同輩同輩接続を中断できます。 一般に、部外者がにせのBGPとTCPメッセージを使用する能力は、制限されますが、根絶されません、TCP一連番号処理で。 [TCPMD5]の使用はこれらを打ち返すことができます。
Murphy Informational [Page 8] RFC 4272 BGP Security Vulnerabilities Analysis January 2006
[8ページ]RFC4272BGPセキュリティの脆弱性分析2006年1月の情報のマーフィー
outsider attacks. BGP peers themselves are permitted to break peer- peer connections, at any time, using NOTIFICATION messages. Thus, there is no additional risk of broken connections through their use of OPEN, KEEPALIVE, or UPDATE messages. However, BGP peers can disrupt routing (in impermissible ways) by issuing UPDATE messages that contain bogus routing information. In particular, bogus ATOMIC_AGGREGATE, NEXT_HOP and AS_PATH attributes and bogus NLRI in UPDATE messages can disrupt routing. The use of [TCPMD5] will not counter these attacks from BGP peers.
部外者は攻撃します。 BGP同輩自身がいつでもNOTIFICATIONメッセージを使用することで同輩同輩接続を調教するのが許容されています。 したがって、失意の接続のどんな追加リスクも彼らのオープン、KEEPALIVE、またはUPDATEメッセージの使用でありません。 しかしながら、BGP同輩は、にせのルーティング情報を含むメッセージをUPDATEに発行することによって、ルーティング(許されていない方法で)を混乱させることができます。 特に、UPDATEメッセージのにせのATOMIC_AGGREGATE、ネクスト_HOP、AS_PATH属性、およびにせのNLRIはルーティングを混乱させることができます。 [TCPMD5]の使用はBGP同輩からこれらの攻撃に対抗しないでしょう。
Each message introduces certain vulnerabilities and risks, which are discussed in the following sections.
各メッセージはある脆弱性と危険を導入します。(以下のセクションで危険について議論します)。
3.1.1. Message Header
3.1.1. メッセージヘッダー
Event 21: Each BGP message starts with a standard header. In all cases, syntactic errors in the message header will cause the BGP speaker to close the connection, release all associated BGP resources, delete all routes learned through that connection, run its decision process to decide on new routes, and cause the state to return to Idle. Also, optionally, an implementation-specific peer oscillation damping may be performed. The peer oscillation damping process can affect how soon the connection can be restarted. An outsider who could spoof messages with message header errors could cause disruptions in routing over a wide area.
イベント21: それぞれのBGPメッセージは標準のヘッダーから始まります。 すべての場合では、メッセージヘッダーの構文の誤りはBGPスピーカーが接続を終えて、すべての関連BGPリソースを発表して、その接続で学習されたすべてのルートを削除して、新しいルートを決めるために決定プロセスを述べて、状態をIdleに戻らせることを引き起こすでしょう。 また、任意に、実装特有の同輩振動湿気は実行されるかもしれません。 同輩振動湿気プロセスは、どれくらい早く接続を再出発できるかに影響できます。 メッセージヘッダー誤りでメッセージを偽造することができた部外者は広い領域にわたるルーティングで分裂を引き起こす場合がありました。
3.1.2. OPEN
3.1.2. 戸外
Event 19: Receipt of an OPEN message in states Connect or Active will cause the BGP speaker to bring down the connection, release all associated BGP resources, delete all associated routes, run its decision process, and cause the state to return to Idle. The deletion of routes can cause a cascading effect in which routing changes propagate through other peers. Also, optionally, an implementation-specific peer oscillation damping may be performed. The peer oscillation damping process can affect how soon the connection can be restarted.
イベント19: 州のConnectかActiveのオープンメッセージの領収書はBGPスピーカーが接続を落ち込ませて、すべての関連BGPリソースを発表して、すべての関連ルートを削除して、決定プロセスを述べて、状態をIdleに戻らせることを引き起こすでしょう。 ルートの削除はルーティング変化が他の同輩を通して伝播される滝の効果を引き起こす場合があります。 また、任意に、実装特有の同輩振動湿気は実行されるかもしれません。 同輩振動湿気プロセスは、どれくらい早く接続を再出発できるかに影響できます。
In state OpenConfirm or Established, the arrival of an OPEN may indicate a connection collision has occurred. If this connection is to be dropped, then Event 23 will be issued. (Event 23, discussed below, results in the same set of disruptive actions as mentioned above for states Connect or Active.)
州のOpenConfirmかEstablishedでは、オープンの到着は、接続衝突が起こったのを示すかもしれません。 この接続が下げられるつもりであると、Event23は発行されるでしょう。 (以下で議論したイベント23は以上のようの州のConnectかActiveへの同じセットの破壊的な動作をもたらします。)
In state OpenSent, the arrival of an OPEN message will cause the BGP speaker to transition to the OpenConfirm state. If an outsider was able to spoof an OPEN message (requiring very careful timing), then the later arrival of the legitimate peer's OPEN message might lead
州のOpenSentでは、オープンメッセージの到着はOpenConfirm状態への変遷にBGPスピーカーを引き起こすでしょう。 部外者がオープンメッセージを偽造することができるなら(非常に慎重なタイミングを必要として)、正統の同輩のオープンメッセージの後の到着は導くでしょうに。
Murphy Informational [Page 9] RFC 4272 BGP Security Vulnerabilities Analysis January 2006
[9ページ]RFC4272BGPセキュリティの脆弱性分析2006年1月の情報のマーフィー
the BGP speaker to declare a connection collision. The collision detection procedure may cause the legitimate connection to be dropped.
接続衝突を宣言するBGPスピーカー。 衝突検出手順で、正統の接続を下げるかもしれません。
Consequently, the ability of an outsider to spoof this message can lead to a severe disruption of routing over a wide area.
その結果、部外者がこのメッセージを偽造する能力は広い領域にわたってルーティングの厳しい分裂につながることができます。
Event 20: If an OPEN message arrives when the DelayOpen timer is running when the connection is in state OpenSent, OpenConfirm or Established, the BGP speaker will bring down the connection, release all associated BGP resources, delete all associated routes, run its decision process, and cause the state to return to Idle. The deletion of routes can cause a cascading effect in which routing changes propagate through other peers. Also, optionally, an implementation-specific peer oscillation damping may be performed. The peer oscillation damping process can affect how soon the connection can be restarted. However, because the OpenDelay timer should never be running in these states, this effect could only be caused by an error in the implementation (a NOTIFICATION is sent with the error code "Finite State Machine Error"). It would be difficult, if not impossible, for an outsider to induce this Finite State Machine error.
イベント20: DelayOpenタイマが動いているとき、接続が州のOpenSent、OpenConfirmまたはEstablishedにあるとき、オープンメッセージが到着すると、BGPスピーカーは、接続を落ち込ませて、すべての関連BGPリソースを発表して、すべての関連ルートを削除して、決定プロセスを述べて、状態をIdleに戻らせるでしょう。 ルートの削除はルーティング変化が他の同輩を通して伝播される滝の効果を引き起こす場合があります。 また、任意に、実装特有の同輩振動湿気は実行されるかもしれません。 同輩振動湿気プロセスは、どれくらい早く接続を再出発できるかに影響できます。 しかしながら、OpenDelayタイマがこれらの州に決して遺伝しているはずがないので、この効果は実装における誤りで引き起こされるだけである場合がありました(エラーコード「有限状態機械誤り」と共にNOTIFICATIONを送ります)。 このFinite州Machine誤りを引き起こすのは、難しいか、または部外者にとって、不可能でしょう。
In states Connect and Active, this event will cause a transition to the OpenConfirm state. As in Event 19, if an outsider were able to spoof an OPEN, which arrived while the DelayOpen timer was running, then a later arriving OPEN (from the legitimate peer) might be considered a connection collision and the legitimate connection could be dropped.
州のConnectとActiveでは、このイベントはOpenConfirm状態への変遷を引き起こすでしょう。 部外者がオープンを偽造することができるならEvent19では、接続衝突であると後の到着オープン(正統の同輩からの)を考えて、正統の接続を下げることができたとき。DelayOpenタイマが動いていた間、オープンは到着しました。
Consequently, the ability of an outsider to spoof this message can lead to a severe disruption of routing over a wide area.
その結果、部外者がこのメッセージを偽造する能力は広い領域にわたってルーティングの厳しい分裂につながることができます。
Event 22: Errors in the OPEN message (e.g., unacceptable Hold state, malformed Optional Parameter, unsupported version, etc.) will cause the BGP speaker to bring down the connection, release all associated BGP resources, delete all associated routes, run its decision process, and cause the state to return to Idle. The deletion of routes can cause a cascading effect in which routing changes propagate through other peers. Also, optionally, an implementation- specific peer oscillation damping may be performed. The peer oscillation damping process can affect how soon the connection can be restarted. Consequently, the ability of an outsider to spoof this message can lead to a severe disruption of routing over a wide area.
イベント22: オープンメッセージ(例えば、容認できないHold状態、奇形のOptional Parameter、サポートされないバージョンなど)における誤りはBGPスピーカーが接続を落ち込ませて、すべての関連BGPリソースを発表して、すべての関連ルートを削除して、決定プロセスを述べて、状態をIdleに戻らせることを引き起こすでしょう。 ルートの削除はルーティング変化が他の同輩を通して伝播される滝の効果を引き起こす場合があります。 また、任意に、実装の特定の同輩振動湿気は実行されるかもしれません。 同輩振動湿気プロセスは、どれくらい早く接続を再出発できるかに影響できます。 その結果、部外者がこのメッセージを偽造する能力は広い領域にわたってルーティングの厳しい分裂につながることができます。
Murphy Informational [Page 10] RFC 4272 BGP Security Vulnerabilities Analysis January 2006
[10ページ]RFC4272BGPセキュリティの脆弱性分析2006年1月の情報のマーフィー
3.1.3. KEEPALIVE
3.1.3. KEEPALIVE
Event 26: Receipt of a KEEPALIVE message, when the peering connection is in the Connect, Active, and OpenSent states, would cause the BGP speaker to transition to the Idle state and fail to establish a connection. Also, optionally, an implementation-specific peer oscillation damping may be performed. The peer oscillation damping process can affect how soon the connection can be restarted. The ability of an outsider to spoof this message can lead to a disruption of routing. To exploit this vulnerability deliberately, the KEEPALIVE must be carefully timed in the sequence of messages exchanged between the peers; otherwise, it causes no damage.
イベント26: じっと見る接続がConnect、Active、およびOpenSent州にあるとき、KEEPALIVEメッセージの領収書は、Idle状態への変遷にBGPスピーカーを引き起こして、取引関係を築かないでしょう。 また、任意に、実装特有の同輩振動湿気は実行されるかもしれません。 同輩振動湿気プロセスは、どれくらい早く接続を再出発できるかに影響できます。 部外者がこのメッセージを偽造する能力はルーティングの分裂につながることができます。 故意にこの脆弱性を利用するために、同輩の間で交換されたメッセージの系列で慎重にKEEPALIVEを調節しなければなりません。 さもなければ、それは損害を全くもたらしません。
3.1.4. NOTIFICATION
3.1.4. 通知
Event 25: Receipt of a NOTIFICATION message in any state will cause the BGP speaker to bring down the connection, release all associated BGP resources, delete all associated routes, run its decision process, and cause the state to return to Idle. The deletion of routes can cause a cascading effect in which routing changes propagate through other peers. Also, optionally, in any state but Established, an implementation-specific peer oscillation damping may be performed. The peer oscillation damping process can affect how soon the connection can be restarted. Consequently, the ability of an outsider to spoof this message can lead to a severe disruption of routing over a wide area.
イベント25: どんな状態のNOTIFICATIONメッセージの領収書もBGPスピーカーが接続を落ち込ませて、すべての関連BGPリソースを発表して、すべての関連ルートを削除して、決定プロセスを述べて、状態をIdleに戻らせることを引き起こすでしょう。 ルートの削除はルーティング変化が他の同輩を通して伝播される滝の効果を引き起こす場合があります。 また、任意に、どんな状態にもかかわらず、Establishedでも、実装特有の同輩振動湿気は実行されるかもしれません。 同輩振動湿気プロセスは、どれくらい早く接続を再出発できるかに影響できます。 その結果、部外者がこのメッセージを偽造する能力は広い領域にわたってルーティングの厳しい分裂につながることができます。
Event 24: A NOTIFICATION message carrying an error code of "Version Error" behaves the same as in Event 25, with the exception that the optional peer oscillation damping is not performed in states OpenSent or OpenConfirm, or in states Connect or Active if the DelayOpen timer is running. Therefore, the damage caused is one small bit less, because restarting the connection is not affected.
イベント24: 「バージョン誤り」のエラーコードを運ぶとDelayOpenタイマであるなら任意の同輩振動がしっとりとして、州の州のOpenSentかOpenConfirm、ConnectまたはActiveで実行されない例外があるEvent25のように同じように振る舞うNOTIFICATIONメッセージは稼働しています。 したがって、接続を再出発するのが影響を受けないので、もたらされた損害はもう1ビットのわずかな減です。
3.1.5. UPDATE
3.1.5. アップデート
Event 8: A BGP speaker may optionally choose to automatically disconnect a BGP connection if the total number of prefixes exceeds a configured maximum. In such a case, an UPDATE may carry a number of prefixes that would result in that maximum being exceeded. The BGP speaker would disconnect the connection, release all associated BGP resources, delete all associated routes, run its decision process, and cause the state to return to Idle. The deletion of routes can cause a cascading effect in which routing changes propagate through other peers. Also, optionally, an implementation-specific peer oscillation damping may be performed. The peer oscillation damping
イベント8: 接頭語の総数が構成された最大を超えているなら、BGPスピーカーは、自動的にBGP接続から切断するのを任意に選ぶかもしれません。 このような場合には、UPDATEは超えられているその最大をもたらす多くの接頭語を運ぶかもしれません。 BGPスピーカーは、接続から切断して、すべての関連BGPリソースを発表して、すべての関連ルートを削除して、決定プロセスを述べて、状態をIdleに戻らせるでしょう。 ルートの削除はルーティング変化が他の同輩を通して伝播される滝の効果を引き起こす場合があります。 また、任意に、実装特有の同輩振動湿気は実行されるかもしれません。 同輩振動湿気
Murphy Informational [Page 11] RFC 4272 BGP Security Vulnerabilities Analysis January 2006
[11ページ]RFC4272BGPセキュリティの脆弱性分析2006年1月の情報のマーフィー
process can affect how soon the connection can be restarted. Consequently, the ability of an outsider to spoof this message can lead to a severe disruption of routing over a wide area.
プロセスは、どれくらい早く接続を再出発できるかに影響できます。 その結果、部外者がこのメッセージを偽造する能力は広い領域にわたってルーティングの厳しい分裂につながることができます。
Event 28: If the UPDATE message is malformed, then the BGP speaker will bring down the connection, release all associated BGP resources, delete all associated routes, run its decision process, and cause the state to return to Idle. (Here, "malformed" refers to improper Withdrawn Routes Length, Total Attribute Length, or Attribute Length, missing mandatory well-known attributes, Attribute Flags that conflict with the Attribute Type Codes, syntactic errors in the ORIGIN, NEXT_HOP or AS_PATH, etc.) The deletion of routes can cause a cascading effect in which routing changes propagate through other peers. Also, optionally, an implementation-specific peer oscillation damping may be performed. The peer oscillation damping process can affect how soon the connection can be restarted. Consequently, the ability of an outsider to spoof this message could cause widespread disruption of routing. As a BGP speaker has the authority to close a connection whenever it wants, this message gives BGP speakers no additional opportunity to cause damage.
イベント28: UPDATEメッセージが奇形であるなら、BGPスピーカーは、接続を落ち込ませて、すべての関連BGPリソースを発表して、すべての関連ルートを削除して、決定プロセスを述べて、状態をIdleに戻らせるでしょう。 (ここと、「奇形」は不適当なWithdrawn Routes Length、Total Attribute Length、またはAttribute Length、なくなった義務的なよく知られる属性、Attribute Type Codesと衝突するAttribute Flags、ORIGIN、ネクスト_HOPまたはAS_PATHの構文の誤りなどを呼びます) ルートの削除はルーティング変化が他の同輩を通して伝播される滝の効果を引き起こす場合があります。 また、任意に、実装特有の同輩振動湿気は実行されるかもしれません。 同輩振動湿気プロセスは、どれくらい早く接続を再出発できるかに影響できます。 その結果、部外者がこのメッセージを偽造する能力はルーティングの広範囲の分裂を引き起こす場合がありました。 BGPスピーカーに欲しいときはいつも、接続を終える権威があるとき、このメッセージは損害を与える追加の機会を全くBGPスピーカーに与えません。
Event 27: An Update message that arrives in any state except Established will cause the BGP speaker to bring down the connection, release all associated BGP resources, delete all associated routes, run its decision process, and cause the state to return to Idle. The deletion of routes can cause a cascading effect in which routing changes propagate through other peers. Also, optionally, an implementation-specific peer oscillation damping may be performed. The peer oscillation damping process can affect how soon the connection can be restarted. Consequently, the ability of an outsider to spoof this message can lead to a severe disruption of routing over a wide area.
イベント27: Established以外のどんな状態にも到着するUpdateメッセージはBGPスピーカーが接続を落ち込ませて、すべての関連BGPリソースを発表して、すべての関連ルートを削除して、決定プロセスを述べて、状態をIdleに戻らせることを引き起こすでしょう。 ルートの削除はルーティング変化が他の同輩を通して伝播される滝の効果を引き起こす場合があります。 また、任意に、実装特有の同輩振動湿気は実行されるかもしれません。 同輩振動湿気プロセスは、どれくらい早く接続を再出発できるかに影響できます。 その結果、部外者がこのメッセージを偽造する能力は広い領域にわたってルーティングの厳しい分裂につながることができます。
In the Established state, the Update message carries the routing information. The ability to spoof any part of this message can lead to a disruption of routing, whether the source of the message is an outsider or a legitimate BGP speaker.
Established状態では、Updateメッセージはルーティング情報を運びます。 このメッセージのどんな部分も偽造する能力はルーティングの分裂につながることができます、メッセージの源が部外者か正統のBGPスピーカーであることにかかわらず。
3.1.5.1. Unfeasible Routes Length, Total Path Attribute Length
3.1.5.1. 実行不可能なルートの長さ、総経路属性の長さ
There is a vulnerability arising from the ability to modify these fields. If a length is modified, the message is not likely to parse properly, resulting in an error, the transmission of a NOTIFICATION message and the close of the connection (see Event 28, above). As a true BGP speaker is able to close a connection at any time, this vulnerability represents an additional risk only when the source is not the configured BGP peer, i.e., it presents no additional risk from BGP speakers.
これらの分野を変更する能力から起こる脆弱性があります。 長さが変更されているなら、メッセージは適切に分析しそうにはありません、誤り、NOTIFICATIONメッセージの伝達、および接続の閉鎖をもたらして(上のEvent28を見てください)。 本当のBGPスピーカーがいつでも接続を終えることができるとき、ソースが構成されたBGP同輩でないときにだけ、この脆弱性は追加危険を表します、すなわち、それがBGPスピーカーからどんな追加危険も提示しません。
Murphy Informational [Page 12] RFC 4272 BGP Security Vulnerabilities Analysis January 2006
[12ページ]RFC4272BGPセキュリティの脆弱性分析2006年1月の情報のマーフィー
3.1.5.2. Withdrawn Routes
3.1.5.2. よそよそしいルート
An outsider could cause the elimination of existing legitimate routes by forging or modifying this field. An outsider could also cause the elimination of reestablished routes by replaying this withdrawal information from earlier packets.
部外者は、この野原を鍛造するか、または変更することによって、存在する除去に正統のルートを引き起こす場合がありました。 また、部外者は、以前のパケットからのこの退出情報を再演することによって、復職しているルートの除去を引き起こす場合がありました。
A BGP speaker could "falsely" withdraw feasible routes using this field. However, as the BGP speaker is authoritative for the routes it will announce, it is allowed to withdraw any previously announced routes that it wants. As the receiving BGP speaker will only withdraw routes associated with the sending BGP speaker, there is no opportunity for a BGP speaker to withdraw another BGP speaker's routes. Therefore, there is no additional risk from BGP peers via this field.
BGPスピーカーは、この分野を使用することで「間違って」可能なルートを引っ込めることができるでしょう。 しかしながら、それが発表するルートに、BGPスピーカーが正式であるので、それは欲しいどんな以前に発表されたルートも引っ込めることができます。 受信BGPスピーカーが送付BGPスピーカーに関連しているルートを引っ込めるだけであるとき、BGPスピーカーが別のBGPスピーカーのルートを引っ込める機会が全くありません。 したがって、この分野を通ってBGP同輩からのどんな追加リスクもありません。
3.1.5.3. Path Attributes
3.1.5.3. 経路属性
The path attributes present many different vulnerabilities and risks.
経路属性は多くの異なった脆弱性と危険を提示します。
o Attribute Flags, Attribute Type Codes, Attribute Length
o 属性旗(属性タイプコード)は長さを結果と考えます。
A BGP peer or an outsider could modify the attribute length or
attribute type (flags and type codes) not to reflect the attribute
values that followed. If the flags were modified, the flags and
type code could become incompatible (i.e., a mandatory attribute
marked as partial), or an optional attribute could be interpreted
as a mandatory attribute or vice versa. If the type code were
modified, the attribute value could be interpreted as if it were
the data type and value of a different attribute.
BGP同輩か部外者が、続いた属性値を反映しないように、属性の長さか属性タイプ(旗とタイプコード)を変更できました。 旗が変更されるなら、旗とタイプコードが非互換に(すなわち、部分的であるとしてマークされた義務的な属性)なることができるでしょうにか、任意の属性は義務的な属性として解釈されるかもしれません、逆もまた同様です。 タイプコードが変更されるなら、まるでそれが異なった属性のデータ型と値であるかのように属性値を解釈できるでしょうに。
The most likely result from modifying the attribute length, flags,
or type code would be a parse error of the UPDATE message. A
parse error would cause the transmission of a NOTIFICATION message
and the close of the connection (see Event 28, above). As a true
BGP speaker is able to close a connection at any time, this
vulnerability represents an additional risk only when the source
is an outsider, i.e., it presents no additional risk from a BGP
peer.
属性の長さ、旗、またはタイプコードを変更するのからの最も多くの起こりそうな結果はaがUPDATEメッセージの誤りを分析するということでしょう。 Aは誤りを分析します。NOTIFICATIONメッセージの伝達と接続の閉鎖を引き起こすでしょう(上のEvent28を見てください)。 本当のBGPスピーカーがいつでも接続を終えることができるとき、ソースが部外者であるときにだけ、この脆弱性は追加危険を表します、すなわち、それがBGP同輩からどんな追加危険も提示しません。
o ORIGIN
o 発生源
This field indicates whether the information was learned from IGP
or EGP information. This field is used in making routing
decisions, so there is some small vulnerability of being able to
affect the receiving BGP speaker's routing decision by modifying
this field.
この分野は、情報がIGPかEGP情報から学習されたかどうかを示します。 この分野がルーティングを決定にする際に使用されるので、この分野を変更することによって受信BGPスピーカーのルーティング決定に影響できる何らかの小さい脆弱性があります。
Murphy Informational [Page 13] RFC 4272 BGP Security Vulnerabilities Analysis January 2006
[13ページ]RFC4272BGPセキュリティの脆弱性分析2006年1月の情報のマーフィー
o AS_PATH
o _経路として
A BGP peer or outsider could announce an AS_PATH that was not
accurate for the associated NLRI.
BGP同輩か部外者が関連NLRIには、正確でなかったAS_PATHを発表できました。
Because a BGP peer might not verify that a received AS_PATH begins
with the AS number of its peer, a malicious BGP peer could
announce a path that begins with the AS of any BGP speaker, with
little impact on itself. This could affect the receiving BGP
speaker's decision procedure and choice of installed route. The
malicious peer could considerably shorten the AS_PATH, which will
increase that route's chances of being chosen, possibly giving the
malicious peer access to traffic it would otherwise not receive.
The shortened AS_PATH also could result in routing loops, as it
does not contain the information needed to prevent loops.
BGP同輩が、容認されたAS_PATHが同輩のAS番号で始まることを確かめないかもしれないので、悪意があるBGP同輩はどんなBGPスピーカーのASと共にも始まる経路を発表できました、影響がそれ自体にほとんどない状態で。 これは受信BGPスピーカーの決定手順とインストールされたルートの選択に影響するかもしれません。 悪意がある同輩はAS_PATHをかなり短くすることができました、ことによるとそうでなければそれが受けないトラフィックへの悪意がある同輩アクセスを与えて。(PATHは選ばれるというそのルートの可能性を増強するでしょう)。 輪を防ぐのに必要である情報を含まないとき、短くされたAS_PATHもルーティング輪をもたらすことができました。
It is possible for a BGP speaker to be configured to accept routes
with its own AS number in the AS path. Such operational
considerations are defined to be "outside the scope" of the BGP
specification. But because AS_PATHs can legitimately have loops,
implementations cannot automatically reject routes with loops.
Each BGP speaker verifies only that its own AS number does not
appear in the AS_PATH.
BGPスピーカーがそれ自身のAS番号がAS経路にある状態でルートを受け入れるために構成されるのは、可能です。 そのような操作上の問題は、BGP仕様の「範囲」になるように定義されます。 しかし、AS_PATHsが合法的に輪を持つことができるので、実装は輪で自動的にルートを拒絶できません。 それぞれのBGPスピーカーは、それ自身のAS番号がAS_PATHに現れるだけではないことを確かめます。
Coupled with the ability to use any value for the NEXT_HOP, this
provides a malicious BGP speaker considerable control over the
path traffic will take.
_ネクストHOPにどんな値も使用する能力と結合されています、これはトラフィックが取る経路の悪意があるBGPスピーカーかなりのコントロールを提供します。
o Originating Routes
o ルートを溯源します。
A special case of announcing a false AS_PATH occurs when the
AS_PATH advertises a direct connection to a specific network
address. A BGP peer or outsider could disrupt routing to the
network(s) listed in the NLRI field by falsely advertising a
direct connection to the network. The NLRI would become
unreachable to the portion of the network that accepted this false
route, unless the ultimate AS on the AS_PATH undertook to tunnel
the packets it was forwarded for this NLRI toward their true
destination AS by a valid path. But even when the packets are
tunneled to the correct destination AS, the route followed may not
be optimal, or may not follow the intended policy. Additionally,
routing for other networks in the Internet could be affected if
the false advertisement fragmented an aggregated address block,
forcing the routers to handle (issue UPDATES, store, manage) the
multiple fragments rather than the single aggregate. False
originations for multiple addresses can result in routers and
transit networks along the announced route to become flooded with
misdirected traffic.
AS_PATHが特定のネットワーク・アドレスにダイレクト接続の広告を出すとき、偽のAS_PATHを発表する特別なケースは現れます。 BGP同輩か部外者がルーティングをNLRI分野に間違ってダイレクト接続のネットワークに広告を出すことによって記載されたネットワークに混乱させることができました。 NLRIはこの偽のルートを受け入れたネットワークの一部に手が届かなくなるでしょう、AS_PATHの上の究極のASが、有効な経路のそばでそれらの本当の目的地ASに向かってそれがこのNLRIのために送られたパケットにトンネルを堀るのを引き受けなかったなら。 しかし、パケットが正しい目的地ASにトンネルを堀られるときさえ、従われたルートは、最適でないかもしれないか、または意図している方針に従わないかもしれません。 さらに、虚偽の広告が集められたあて先ブロックを断片化するなら、インターネットの他のネットワークのためのルーティングは影響を受けることができるでしょうに、ルータにただ一つの集合よりむしろ複数の断片を扱わせて(問題UPDATES(店)は管理します)。 複数のアドレスのための誤った創作は、的外れのトラフィックで水につかるようになるように発表されたルートに沿ってルータと輸送網をもたらすことができます。
Murphy Informational [Page 14] RFC 4272 BGP Security Vulnerabilities Analysis January 2006
[14ページ]RFC4272BGPセキュリティの脆弱性分析2006年1月の情報のマーフィー
o NEXT_HOP
o 次の_ホップ
The NEXT_HOP attribute defines the IP address of the border router
that should be used as the next hop when forwarding the NLRI
listed in the UPDATE message. If the recipient is an external
peer, then the recipient and the NEXT_HOP address must share a
subnet. It is clear that an outsider who modified this field
could disrupt the forwarding of traffic between the two ASes.
ネクスト_HOP属性はNLRIを進めるとき、次のホップがUPDATEメッセージに記載したように使用されるべきである境界ルータのIPアドレスを定義します。 受取人が外部の同輩であるなら、受取人とネクスト_HOPアドレスはサブネットを共有しなければなりません。 この分野を変更した部外者が2ASesの間のトラフィックの推進を中断できたのは、明確です。
If the recipient of the message is an external peer of an AS and
the route was learned from another peer AS (this is one of two
forms of "third party" NEXT_HOP), then the BGP speaker advertising
the route has the opportunity to direct the recipient to forward
traffic to a BGP speaker at the NEXT_HOP address. This affords
the opportunity to direct traffic at a router that may not be able
to continue forwarding the traffic. A malicious BGP speaker can
also use this technique to force another AS to carry traffic it
would otherwise not have to carry. In some cases, this could be
to the malicious BGP speaker's benefit, as it could cause traffic
to be carried long-haul by the victim AS to some other peering
point it shared with the victim.
メッセージの受取人がASの外部の同輩であり、ルートが別の同輩ASから学習されたなら(これは「第三者」ネクスト_HOPの2つのフォームの1つです)、ルートの広告を出すBGPスピーカーはネクスト_HOPアドレスにBGPスピーカーにトラフィックを送るよう受取人に指示する機会を持っています。 これはトラフィックを進め続けることができないかもしれないルータで交通整理する機会を提供します。 また、別のASにそうでなければそれが運ぶために持っていないトラフィックを運ばせるのに悪意があるBGPスピーカーはこのテクニックを使用できます。 いくつかの場合、これは悪意があるBGPスピーカーの利益のためにあるかもしれません、トラフィックがそれが犠牲者と共有したある他のじっと見るポイントへの犠牲者ASによる運ばれた長期であることを引き起こす場合があったとき。
o MULTI_EXIT_DISC
o マルチ_出口_ディスク
The MULTI_EXIT_DISC attribute is used in UPDATE messages
transmitted between inter-AS BGP peers. While the MULTI_EXIT_DISC
received from an inter-AS peer may be propagated within an AS, it
may not be propagated to other ASes. Consequently, this field is
only used in making routing decisions internal to one AS.
Modifying this field, whether by an outsider or a BGP peer, could
influence routing within an AS to be sub-optimal, but the effect
should be limited in scope.
MULTI_EXIT_DISC属性は相互AS BGP同輩の間に送られたUPDATEメッセージで使用されます。 DISCが相互AS同輩から受けたMULTI_EXIT_がASの中で伝播されているかもしれない間、それは他のASesに伝播されないかもしれません。 その結果、この分野はルーティングを1ASへの内部の決定にする際に使用されるだけです。 部外者かBGP同輩にかかわらずこの分野を変更するのは、ASの中のルーティングがサブ最適であるのに影響を及ぼすかもしれませんが、効果は範囲で制限されるべきです。
o LOCAL_PREF
o 地方の_PREF
The LOCAL_PREF attribute must be included in all messages with
internal peers, and excluded from messages with external peers.
Consequently, modification of the LOCAL_PREF could effect the
routing process within the AS only. Note that there is no
requirement in the BGP RFC that the LOCAL_PREF be consistent among
the internal BGP speakers of an AS. Because BGP peers are free to
choose the LOCAL_PREF, modification of this field is a
vulnerability with respect to outsiders only.
LOCAL_PREF属性を内部の同輩と共にすべてのメッセージに含まれていて、外部の同輩と共にメッセージから除かなければなりません。 その結果、LOCAL_PREFの変更はASだけの中でルーティングプロセスに作用するかもしれません。 LOCAL_PREFがASの内部のBGPスピーカーの中で一貫しているというBGP RFCの要件が全くないことに注意してください。 BGP同輩が自由にLOCAL_PREFを選ぶことができるので、この分野の変更は部外者だけに関する脆弱性です。
Murphy Informational [Page 15] RFC 4272 BGP Security Vulnerabilities Analysis January 2006
[15ページ]RFC4272BGPセキュリティの脆弱性分析2006年1月の情報のマーフィー
o ATOMIC_AGGREGATE
o 原子_集合
The ATOMIC_AGGREGATE field indicates that an AS somewhere along
the way has aggregated several routes and advertised the aggregate
NLRI without the AS_SET being formed as usual from the ASes in the
aggregated routes' AS_PATHs. BGP speakers receiving a route with
ATOMIC_AGGREGATE are restricted from making the NLRI any more
specific. Removing the ATOMIC_AGGREGATE attribute would remove
the restriction, possibly causing traffic intended for the more
specific NLRI to be routed incorrectly. Adding the
ATOMIC_AGGREGATE attribute, when no aggregation was done, would
have little effect beyond restricting the un-aggregated NLRI from
being made more specific. This vulnerability exists whether the
source is a BGP peer or an outsider.
ATOMIC_AGGREGATE分野は、道に沿ったどこかのASが集められたルートのAS_PATHsでASesからいつものように形成されるAS_SETなしで数個のルートに集めて、集合NLRIの広告を出したのを示します。 ATOMIC_AGGREGATEと共にルートを受け取るBGPスピーカーが、NLRIをそれ以上特定にするので、制限されます。 ATOMIC_AGGREGATE属性を取り除くと、制限は取り除かれるでしょう、ことによるとより特定のNLRIが不当に発送されることを意図するトラフィックを引き起こして。 集合を全くしなかったときATOMIC_AGGREGATE属性を加えるのにおいて、より特定に作られているので不-集められたNLRIを制限することを超えて効果がほとんどないでしょう。 この脆弱性はソースがBGP同輩か部外者であることにかかわらず存在しています。
o AGGREGATOR
o アグリゲータ
This field may be included by a BGP speaker who has computed the
routes represented in the UPDATE message by aggregating other
routes. The field contains the AS number and IP address of the
last aggregator of the route. It is not used in making any
routing decisions, so it does not represent a vulnerability.
この分野はUPDATEメッセージに他のルートに集めることによって表されたルートを計算したBGPスピーカーによって入れられるかもしれません。 分野はルートの最後のアグリゲータのAS番号とIPアドレスを含んでいます。 どんなルーティングも決定にする際に使用されないので、それは脆弱性を表しません。
3.1.5.4. NLRI
3.1.5.4. NLRI
By modifying or forging this field, either an outsider or BGP peer source could cause disruption of routing to the announced network, overwhelm a router along the announced route, cause data loss when the announced route will not forward traffic to the announced network, route traffic by a sub-optimal route, etc.
この分野、部外者またはBGP同輩ソースが発表されたネットワークへのルーティングの分裂を引き起こす場合があった変更か鍛造物で、発表されたルートに沿ってルータを圧倒してください、発表されたルートが発表されたネットワークにトラフィックを送らないときの原因データの損失、サブ最適のルートなどによるルートトラフィック
3.2. Vulnerabilities through Other Protocols
3.2. 他のプロトコルを通した脆弱性
3.2.1. TCP Messages
3.2.1. TCPメッセージ
BGP runs over TCP, listening on port 179. Therefore, BGP is subject to attack through attacks on TCP.
ポート179の上で聴いて、BGPはTCPをひきます。 したがって、BGPはTCPに対する攻撃で攻撃を受けることがあります。
3.2.1.1. TCP SYN
3.2.1.1. TCP SYN
SYN flooding: Like other protocols, BGP is subject to the effects on the TCP implementation of SYN flooding attacks, and must rely on the implementation's protections against these attacks.
SYN氾濫: 他のプロトコルのように、BGPはSYNフラッディング攻撃のTCP実装への効果を被りやすく、これらの攻撃に対して実装の保護に依存しなければなりません。
Event 14: If an outsider were able to send a SYN to the BGP speaker at the appropriate time during connection establishment, then the legitimate peer's SYN would appear to be a second connection. If the outsider were able to continue with a sequence of packets resulting
イベント14: コネクション確立の間、部外者が適切な時期でBGPスピーカーにSYNを送ることができるなら、正統の同輩のSYNは、2番目の接続であるように見えるでしょうに。 パケットの系列が結果として生じていて部外者が続くことができるなら
Murphy Informational [Page 16] RFC 4272 BGP Security Vulnerabilities Analysis January 2006
[16ページ]RFC4272BGPセキュリティの脆弱性分析2006年1月の情報のマーフィー
in a BGP connection (guessing the BGP speaker's choice for sequence number on the SYN ACK, for example), then the outsider's connection and the legitimate peer's connection would appear to be a connection collision. Depending on the outcome of the collision detection (i.e., if the outsider chooses a BGP identifier so as to win the race), the legitimate peer's true connection could be destroyed. The use of [TCPMD5] can counter this attack.
そして、BGP接続(例えば、SYN ACKで一連番号のためのBGPスピーカーの選択を推測する)では、部外者の接続と正統の同輩の接続は、接続衝突であるように見えるでしょう。 衝突検出の結果によって(すなわち、部外者がレースに勝つためにBGP識別子を選ぶなら)、正統の同輩の本当の接続を滅ぼすことができました。 [TCPMD5]の使用はこの攻撃に対抗できます。
3.2.1.2. TCP SYN ACK
3.2.1.2. TCP SYN ACK
Event 16: If an outsider were able to respond to a BGP speaker's SYN before the legitimate peer, then the legitimate peer's SYN-ACK would receive an empty ACK reply, causing the legitimate peer to issue a RST that would break the connection. The BGP speaker would bring down the connection, release all associated BGP resources, delete all associated routes, and run its decision process. This attack requires that the outsider be able to predict the sequence number used in the SYN. The use of [TCPMD5] can counter this attack.
イベント16: 部外者が正統の同輩の前でBGPスピーカーのSYNに応じることができるなら、正統の同輩のSYN-ACKは空のACK回答を受け取るでしょうに、正統の同輩が電話を切るRSTを発行することを引き起こして。 BGPスピーカーは、接続を落ち込ませて、すべての関連BGPリソースを発表して、すべての関連ルートを削除して、決定プロセスを実行するでしょう。 この攻撃は、部外者がSYNで使用される一連番号を予測できるのを必要とします。 [TCPMD5]の使用はこの攻撃に対抗できます。
3.2.1.3. TCP ACK
3.2.1.3. TCP ACK
Event 17: If an outsider were able to spoof an ACK at the appropriate time during connection establishment, then the BGP speaker would consider the connection complete, send an OPEN (Event 17), and transition to the OpenSent state. The arrival of the legitimate peer's ACK would not be delivered to the BGP process, as it would look like a duplicate packet. Thus, this message does not present a vulnerability to BGP during connection establishment. Spoofing an ACK after connection establishment requires knowledge of the sequence numbers in use, and is, in general, a very difficult task. The use of [TCPMD5] can counter this attack.
イベント17: コネクション確立の間、部外者が適切な時期でACKを偽造することができるなら、BGPスピーカーは、接続が完全であると考えるだろうにて、オープン(イベント17)、および変遷をOpenSent状態に送ってください。 正統の同輩のACKの到着はBGPプロセスに提供されないでしょう、写しパケットに似ているだろうというとき。 したがって、このメッセージはコネクション確立の間、BGPに脆弱性を提示しません。 コネクション確立の後にACKを偽造するのは、使用中の一連番号に関する知識を必要として、一般に、非常に難しいタスクです。 [TCPMD5]の使用はこの攻撃に対抗できます。
3.2.1.4. TCP RST/FIN/FIN-ACK
3.2.1.4. フィンTCP RST/フィン/ACK
Event 18: If an outsider were able to spoof a RST, the BGP speaker would bring down the connection, release all associated BGP resources, delete all associated routes, and run its decision process. If an outsider were able to spoof a FIN, then data could still be transmitted, but any attempt to receive it would trigger a notification that the connection is closing. In most cases, this results in the connection being placed in an Idle state. But if the connection is in the Connect state or the OpenSent state at the time, the connection will return to an Active state.
イベント18: 部外者がRSTを偽造することができるなら、BGPスピーカーは、接続を落ち込ませて、すべての関連BGPリソースを発表して、すべての関連ルートを削除して、決定プロセスを実行するでしょうに。 部外者がFINを偽造することができるなら、まだデータを送ることができますが、それを受けるどんな試みも接続が閉じているという通知の引き金となるでしょう。 多くの場合、これはIdle状態に置かれている接続をもたらします。 しかし、接続がConnect州か当時OpenSent状態にあると、接続はActive状態に戻るでしょう。
Spoofing a RST in this situation requires an outsider to guess a sequence number that need only be within the receive window [Watson04]. This is generally an easier task than guessing the exact
この状況でRSTを偽造するのが、部外者が中にあるだけでよい一連番号を推測するのを必要とする、窓[Watson04]を受けてください。 一般に、これは正確を推測するより簡単なタスクです。
Murphy Informational [Page 17] RFC 4272 BGP Security Vulnerabilities Analysis January 2006
[17ページ]RFC4272BGPセキュリティの脆弱性分析2006年1月の情報のマーフィー
sequence number required to spoof a FIN. The use of [TCPMD5] can counter this attack.
一連番号がFINを偽造するのが必要です。 [TCPMD5]の使用はこの攻撃に対抗できます。
3.2.1.5. DoS and DDos
3.2.1.5. DoSとDDos
Because the packets directed to TCP port 179 are passed to the BGP process, which potentially resides on a slower processor in the router, flooding a router with TCP port 179 packets is an avenue for DoS attacks against the router. No BGP mechanism can defeat such attacks; other mechanisms must be employed.
TCPポート179に向けられたパケットがBGPプロセス(潜在的に、より遅いプロセッサの上にルータで住んでいる)に通過されるので、TCPポート179パケットでルータをあふれさせるのは、ルータに対するDoS攻撃のための大通りです。 どんなBGPメカニズムもそのような攻撃を破ることができません。 他のメカニズムを使わなければなりません。
3.2.2. Other Supporting Protocols
3.2.2. 他のサポートプロトコル
3.2.2.1. Manual Stop
3.2.2.1. 手動の停止
Event 2: A manual stop event causes the BGP speaker to bring down the connection, release all associated BGP resources, delete all associated routes, and run its decision process. If the mechanism by which a BGP speaker was informed of a manual stop is not carefully protected, the BGP connection could be destroyed by an outsider. Consequently, BGP security is secondarily dependent on the security of the management and configuration protocols that are used to signal this event.
イベント2: 手動の停止イベントは、BGPスピーカーが接続を落ち込ませて、すべての関連BGPリソースを発表して、すべての関連ルートを削除して、決定プロセスを実行することを引き起こします。 BGPスピーカーは手動の停止において知識があったメカニズムが慎重に保護されないなら、BGP接続が部外者によって滅ぼされるかもしれません。 その結果、BGPセキュリティは二次的に、このイベントに合図するのに使用される管理と構成プロトコルのセキュリティに依存しています。
3.2.2.2. Open Collision Dump
3.2.2.2. 開いている衝突ダンプ
Event 23: The OpenCollisionDump event may be generated administratively when a connection collision event is detected and the connection has been selected to be disconnected. When this event occurs in any state, the BGP connection is dropped, the BGP resources are released, the associated routes are deleted, etc. Consequently, BGP security is secondarily dependent on the security of the management and configuration protocols that are used to signal this event.
イベント23: 接続衝突イベントが検出されて、接続が切断されるのに選ばれたとき、OpenCollisionDumpイベントは行政上生成されるかもしれません。 このイベントがどんな状態にも起こるとき、BGP接続は下げられて、BGPリソースは発表されて、関連ルートは削除されますなど。 その結果、BGPセキュリティは二次的に、このイベントに合図するのに使用される管理と構成プロトコルのセキュリティに依存しています。
3.2.2.3. Timer Events
3.2.2.3. タイマイベント
Events 9-13: BGP employs five timers (ConnectRetry, Hold, Keepalive, MinASOrigination-Interval, and MinRouteAdvertisementInterval) and two optional timers (DelayOpen and IdleHold). These timers are critical to BGP operation. For example, if the Hold timer value were changed, the remote peer might consider the connection unresponsive and bring the connection down, thus releasing resources, deleting associated routes, etc. Consequently, BGP security is secondarily dependent on the security of the operation, management, and configuration protocols that are used to modify the timers.
イベント9-13: BGPは5個のタイマ(ConnectRetry、Hold、Keepalive、MinASOrigination-間隔、およびMinRouteAdvertisementInterval)と2個の任意のタイマ(DelayOpenとIdleHold)を使います。 これらのタイマはBGP操作に重要です。 Holdタイマ価値を変えて、リモート同輩が例えば接続無反応を考えて、接続を落ち込ませて、その結果、関連ルートを削除して、リソースを発表するかもしれないなら、などです。 その結果、BGPセキュリティは二次的に、タイマを変更するのに使用される操作、管理、および構成プロトコルのセキュリティに依存しています。
Murphy Informational [Page 18] RFC 4272 BGP Security Vulnerabilities Analysis January 2006
[18ページ]RFC4272BGPセキュリティの脆弱性分析2006年1月の情報のマーフィー
4. Security Considerations
4. セキュリティ問題
This entire memo is about security, describing an analysis of the vulnerabilities that exist in BGP.
BGPに存在する脆弱性の分析について説明して、この全体のメモはセキュリティに関するものです。
Use of the mandatory-to-support mechanisms of [TCPMD5] counters the message insertion, deletion, and modification attacks, as well as man-in-the-middle attacks by outsiders. If routing data confidentiality is desired (there is some controversy as to whether it is a desirable security service), the use of IPsec ESP could provide that service.
[TCPMD5]のサポートするために義務的なメカニズムの使用はメッセージ挿入、削除、および変更攻撃に対抗します、部外者による介入者攻撃と同様に。 掘るなら、データの機密性は望まれています(それが望ましいセキュリティー・サービスであるかどうかに関して何らかの論争があります)、超能力がそのサービスを供給できたIPsecの使用。
4.1. Residual Risk
4.1. 残存危険性
As cryptographic-based mechanisms, both [TCPMD5] and IPsec [IPsec] assume that the cryptographic algorithms are secure, that secrets used are protected from exposure and are chosen well so as not to be guessable, that the platforms are securely managed and operated to prevent break-ins, etc.
暗号ベースのメカニズム、両方[TCPMD5]、およびIPsec[IPsec]が、プラットホームが不法侵入を防ぐために暗号アルゴリズムが安全であり、使用される秘密が暴露から保護されて、推測可能にならないようによく選ばれていて、しっかりと管理されて、運転されると仮定するので、などです。
These mechanisms do not prevent attacks that arise from a router's legitimate BGP peers. There are several possible solutions to prevent a BGP speaker from inserting bogus information in its advertisements to its peers (i.e., from mounting an attack on a network's origination or AS-PATH):
これらのメカニズムはルータの正統のBGP同輩から起こる攻撃を防ぎません。 BGPスピーカーが同輩(すなわち、ネットワークの創作かAS-PATHに攻撃を開始するのからの)への広告ににせの情報を挿入するのを防ぐために、いくつかの可能なソリューションがあります:
(1) Origination Protection: sign the originating AS.
(1) 創作保護: 溯源がASであると署名してください。
(2) Origination and Adjacency Protection: sign the originating AS
and predecessor information ([Smith96])
(2)創作と隣接番組保護: ASと前任者情報に起因するのに署名してください。([Smith96])
(3) Origination and Route Protection: sign the originating AS, and
nest signatures of AS_PATHs to the number of consecutive bad
routers you want to prevent from causing damage. ([SBGP00])
(3)創作とルート保護: AS、およびあなたが損害を与えるのを防ぎたい連続した悪いルータの数へのAS_PATHsの巣の署名に起因するのに署名してください。 ([SBGP00])
(4) Filtering: rely on a registry to verify the AS_PATH and NLRI
originating AS ([RPSL]).
(4) フィルタリング: 登録を当てにして、AS([RPSL])を溯源するAS_PATHとNLRIについて確かめてください。
Filtering is in use near some customer attachment points, but is not effective near the Internet center. The other mechanisms are still controversial and are not yet in common use.
フィルタリングは、いくつかの顧客付着点の近くで使用中ですが、インターネット中心の近くで有効ではありません。 他のメカニズムは、まだ論議を呼んでいて、まだ共用ではありません。
4.2. Operational Protections
4.2. 操作上の保護
BGP is primarily used as a means to provide reachability information to Autonomous Systems (AS) and to distribute external reachability internally within an AS. BGP is the routing protocol used to
BGPはAutonomous Systems(AS)に可到達性情報を供給して、ASの中で内部的に外部の可到達性を分配する手段として主として使用されます。 BGPはプロトコルが以前はよくそうしていたルーティングです。
Murphy Informational [Page 19] RFC 4272 BGP Security Vulnerabilities Analysis January 2006
[19ページ]RFC4272BGPセキュリティの脆弱性分析2006年1月の情報のマーフィー
distribute global routing information in the Internet. Therefore, BGP is used by all major Internet Service Providers (ISP), as well as many smaller providers and other organizations.
インターネットでグローバルなルーティング情報を分配してください。 したがって、BGPはすべての主要なインターネットサービスプロバイダ(ISP)、多くの、より小さいプロバイダー、および他の組織によって使用されます。
BGP's role in the Internet puts BGP implementations in unique conditions, and places unique security requirements on BGP. BGP is operated over interprovider interfaces in which traffic levels push the state of the art in specialized packet forwarding hardware and exceed the performance capabilities of hardware implementation of decryption by many orders of magnitude. The capability of an attacker using a single workstation with high speed interface to generate false traffic for denial of service (DoS) far exceeds the capability of software-based decryption or appropriately-priced cryptographic hardware to detect the false traffic. Under such conditions, one means to protect the network elements from DoS attacks is to use packet-based filtering techniques based on relatively simple inspections of packets. As a result, for an ISP carrying large volumes of traffic, the ability to packet filter on the basis of port numbers is an important protection against DoS attacks, and a necessary adjunct to cryptographic strength in encapsulation.
インターネットのBGPの役割は、ユニークな状態にBGP実装を入れて、ユニークなセキュリティ要件をBGPに置きます。 BGPはトラフィックレベルが専門化しているパケット推進ハードウェアで到達技術水準を押して、復号化のハードウェア実装の性能能力を多くの桁超えているinterproviderインタフェースの上で操作されます。 サービス(DoS)の否定のために誤ったトラフィックを生成する高速インタフェースが遠くにある状態で攻撃者が単一のワークステーションを使用する能力はソフトウェアベースの復号化か適切に値を付けられた暗号のハードウェアが誤ったトラフィックを検出する能力を超えています。 そのような条件のもとでは、DoS攻撃からネットワーク要素を保護する1つの手段はパケットの比較的簡単な点検に基づくパケットベースのフィルター技術を使用することです。 その結果、トラフィックの大量を運ぶISPのために、ポートナンバーに基づいたパケットフィルタへの能力は、DoS攻撃に対する重要な保護と、カプセル化における暗号の強さへの必要な付属物です。
Current practice in ISP operation is to use certain common filtering techniques to reduce the exposure to attacks from outside the ISP. To protect Internal BGP (IBGP) sessions, filters are applied at all borders to an ISP network. This removes all traffic destined for network elements' internal addresses (typically contained within a single prefix) and the BGP port number (179). If the BGP port number is found, packets from within an ISP are not forwarded from an internal interface to the BGP speaker's address (on which External BGP (EBGP) sessions are supported), or to a peer's EBGP address. Appropriate router design can limit the risk of compromise when a BGP peer fails to provide adequate filtering. The risk can be limited to the peering session on which filtering is not performed by the peer, or to the interface or line card on which the peering is supported. There is substantial motivation, and little effort is required, for ISPs to maintain such filters.
ISP操作における現在の習慣は、ISPの外から暴露を攻撃に減少させるのに、ある一般的なフィルター技術を使用することになっています。 Internal BGP(IBGP)セッションを保護するために、フィルタはすべての境界でISPネットワークに適用されます。 これはネットワーク要素の内部のアドレス(ただ一つの接頭語の中に通常含まれている)とBGPポートナンバー(179)のために運命づけられたすべてのトラフィックを取り除きます。 BGPポートナンバーが見つけられるなら、ISPからのパケットは内部のインタフェースからBGPスピーカーのアドレス(External BGP(EBGP)セッションはそこでサポートされる)まで同輩のEBGPアドレスに送られません。 BGP同輩が適切なフィルタリングを提供しないと、適切なルータデザインは感染の危険を制限できます。 じっと見るセッションまで危険をどのフィルタリングが同輩によって実行されないかの上、または、じっと見ることがサポートされるインタフェースか系列カードに制限できます。 かなりの動機があります、そして、取り組みは、ISPにそのようなフィルタを維持するのにほとんど必要ではありません。
These operational practices can considerably raise the difficulty for an outsider to launch a DoS attack against an ISP. Prevented from injecting sufficient traffic from outside a network to effect a DoS attack, the attacker would have to undertake more difficult tasks, such as compromising the ISP network elements or undetected tapping into physical media.
部外者がISPに対してDoS攻撃に着手するように、これらの操作上の習慣は困難をかなり上げることができます。 ネットワークの外からのDoS攻撃に作用できるくらいのトラフィックを注入するのが防がれます、攻撃者は、より難しいタスクを引き受けなければならないでしょう、ISPネットワークが要素であると感染するか、または物理的なメディアに軽く打ち込みながら非検出されるように。
Murphy Informational [Page 20] RFC 4272 BGP Security Vulnerabilities Analysis January 2006
[20ページ]RFC4272BGPセキュリティの脆弱性分析2006年1月の情報のマーフィー
5. References
5. 参照
5.1. Normative References
5.1. 引用規格
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate
Requirement Levels", RFC 2119, BCP 14, March 1997.
[RFC2119] ブラドナー、S.、「Indicate Requirement LevelsへのRFCsにおける使用のためのキーワード」、RFC2119、BCP14、1997年3月。
[TCPMD5] Heffernan, A., "Protection of BGP Sessions via the TCP MD5
Signature Option", RFC 2385, August 1998.
[TCPMD5] ヘファーナン、A.、「TCP MD5 Signature Optionを通したBGPセッションズの保護」、RFC2385、1998年8月。
[RFC4271] Rekhter, Y., Li, T., and S. Hares, Eds., "A Border Gateway
Protocol 4 (BGP-4)", RFC 4271, January 2006.
[RFC4271] RekhterとY.と李、T.とS.野兎、Eds、「ボーダ・ゲイトウェイ・プロトコル4(BGP-4)」、RFC4271、1月2006日
5.2. Informative References
5.2. 有益な参照
[IPsec] Kent, S. and R. Atkinson, "Security Architecture for the
Internet Protocol", RFC 2401, November 1998.
[IPsec] ケントとS.とR.アトキンソン、「インターネットプロトコルのためのセキュリティー体系」、RFC2401、1998年11月。
[SBGP00] Kent, S., Lynn, C. and Seo, K., "Secure Border Gateway
Protocol (Secure-BGP)", IEEE Journal on Selected Areas in
Communications, Vol. 18, No. 4, April 2000, pp. 582-592.
[SBGP00] ケント、S.、リン、C.、およびSeo(K.)は「ボーダ・ゲイトウェイ・プロトコル(安全なBGP)を保証します」、CommunicationsのSelected Areasの上のIEEE Journal、Vol.18、No.4、2000年4月、ページ 582-592.
[SecCons] Rescorla, E. and B. Korver, "Guidelines for Writing RFC
Text on Security Considerations", BCP 72, RFC 3552, July
2003.
[SecCons] レスコラ、E.とB.Korver、「セキュリティ問題に関するテキストをRFCに書くためのガイドライン」BCP72、2003年7月のRFC3552。
[Smith96] Smith, B. and Garcia-Luna-Aceves, J.J., "Securing the
Border Gateway Routing Protocol", Proc. Global Internet
'96, London, UK, 20-21 November 1996.
[Smith96] スミスとB.とガルシアルーナAceves、J.J.、「境界がゲートウェイルーティング・プロトコルであると機密保護します」、Proc。 グローバルなインターネット96年、ロンドン、イギリス、1996年11月20-21日。
[RPSL] Villamizar, C., Alaettinoglu, C., Meyer, D., and S.
Murphy, "Routing Policy System Security", RFC 2725,
December 1999.
[RPSL] VillamizarとC.とAlaettinogluとC.とマイヤー、D.とS.マーフィー、「ルート設定方針システムセキュリティ」、RFC2725、1999年12月。
[Watson04] Watson, P., "Slipping In The Window: TCP Reset Attacks",
CanSecWest 2004, April 2004.
[Watson04]ワトソン、「窓で以下を滑らせる」P. 「TCPリセット攻撃」、CanSecWest2004、2004年4月。
Author's Address
作者のアドレス
Sandra Murphy Sparta, Inc. 7075 Samuel Morse Drive Columbia, MD 21046
サンドラマーフィースパルタInc.7075サミュエル・モースDriveコロンビア、MD 21046
EMail: Sandy@tislabs.com
メール: Sandy@tislabs.com
Murphy Informational [Page 21] RFC 4272 BGP Security Vulnerabilities Analysis January 2006
[21ページ]RFC4272BGPセキュリティの脆弱性分析2006年1月の情報のマーフィー
Full Copyright Statement
完全な著作権宣言文
Copyright (C) The Internet Society (2006).
Copyright(C)インターネット協会(2006)。
This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.
このドキュメントはBCP78に含まれた権利、ライセンス、および制限を受けることがあります、そして、そこに詳しく説明されるのを除いて、作者は彼らのすべての権利を保有します。
This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
このドキュメントと「そのままで」という基礎と貢献者、その人が代表する組織で提供するか、または後援されて、インターネット協会とインターネット・エンジニアリング・タスク・フォースはすべての保証を放棄します、と急行ORが含意したということであり、他を含んでいて、ここに含まれて、情報の使用がここに侵害しないどんな保証も少しもまっすぐになるという情報か市場性か特定目的への適合性のどんな黙示的な保証。
Intellectual Property
知的所有権
The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79.
IETFはどんなIntellectual Property Rightsの正当性か範囲、実装に関係すると主張されるかもしれない他の権利、本書では説明された技術の使用またはそのような権利の下におけるどんなライセンスも利用可能であるかもしれない、または利用可能でないかもしれない範囲に関しても立場を全く取りません。 または、それはそれを表しません。どんなそのような権利も特定するどんな独立している取り組みも作りました。 BCP78とBCP79でRFCドキュメントの権利に関する手順に関する情報を見つけることができます。
Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.
IPR公開のコピーが利用可能に作られるべきライセンスの保証、または一般的な免許を取得するのが作られた試みの結果をIETF事務局といずれにもしたか、または http://www.ietf.org/ipr のIETFのオンラインIPR倉庫からこの仕様のimplementersかユーザによるそのような所有権の使用のために許可を得ることができます。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.
IETFはこの規格を実装するのに必要であるかもしれない技術をカバーするかもしれないどんな著作権もその注目していただくどんな利害関係者、特許、特許出願、または他の所有権も招待します。 ietf-ipr@ietf.org のIETFに情報を扱ってください。
Acknowledgement
承認
Funding for the RFC Editor function is provided by the IETF Administrative Support Activity (IASA).
RFC Editor機能のための基金はIETF Administrative Support Activity(IASA)によって提供されます。
Murphy Informational [Page 22]
マーフィーInformationalです。[22ページ]
一覧
スポンサーリンク
