4/28/2017

BGPハイジャック: インターネットはまだ(再び)壊れている (4/27)

SANS Diaryより

インターネットはネットワークのネットワークである。各自律システム(AS)は、ルーティング情報を広め受け取るためにBorder Gateway Protocol (BGP)を"話す"ルータを使ってインターネットに接続する。問題は、誰がどのIPアドレス空間を受け取ることになっているのかを把握するための信頼できる方法がないことである("whois"情報は信用できない)。新しいIPアドレスレンジが割り当てられた場合、あるいは別のネットワークとの協定の一部としてルーティングすることに同意する場合に、私はインターネットにこれを広告するためにBGPを利用する。残念なことに、誰もこれらの広告を検証する方法がまだ分かっていない。多くの提案はあるが、現在のところ、必要な牽引力はない。

その結果、BGPを悪用して実際に所有しないIPアドレスを広告することが一般的である。これはサービス拒否につながる可能性がある、あるいは悪人が中間者攻撃(MITM attack)のために使い始める可能性がある。異常なBGPトラフィックを監視する企業BGPMonは昨日、VISAに割り当てられたネットブロックの一部がロシアの通信プロバイダROSE Telecomにリルートされたことを発見した [1]。これはすべてROSE Telecomの過失かもしれない。全ての顧客が通知を送っていた可能性がある。もちろん、ROSE Telecomもこれに気付くべきである。

それでは、手短にあなたは何ができるか?

1 - インターネットは信頼できないネットワークである。それに対処すべきである。皆があなたのトラフィックをリルートし、盗聴し、操作していると仮定すべきだ。TLSのような技術は適切に実装されていれば、これらの問題を検出するのに役立つ。VPNは組織内、信頼できるパートナー間で信頼できる接続を保護するのに役立つ。しかし、これが正確にこれらの構成を監査する必要があり、カレント・ベスト・プラクティスに基づいて設定を確認する理由である。

2 - 誰かが使用しているIPアドレス空間をハイジャックしようとしているかを監視して欲しい。非常にコストが掛かる独自の監視インフラを設定したくなければ、BGPMonのようなツールはそれを行うのに便利である。

3 - 独自のIPアドレス空間を使用し、BGPを自分で管理する場合、利用可能なセキュリティ機能を実装するかを検討してほしい。BGPmonはいくつかのオプションについて素晴らしいブログ投稿をしている [2]。

[1] https://bgpstream.com/event/80327
[2] https://bgpmon.net/securing-bgp-routing-with-rpki-and-roas/


Johannes B. Ullrich, Ph.D., Dean of Research, SANS Technology Institute
STI|Twitter|