7/21/2018

ARTEMIS — 1分でBGPハイジャックを相殺する

APNICのブログより。面白い!!

By Vasileios Kotronis

BGPプレフィックスのハイジャックは、インターネット組織に対する永続的な脅威で、ドメイン間ルーティングシステムでの委任と認証メカニズムの欠如が原因と考えられる。

2017年だけでも、数千ものルーティング・インシデントが、損失の大きな停止情報の傍受を引き起こしたが、問題の正確な程度は不明である。過去20年間にネットワークをBGPハイジャックから保護するための多くの研究努力(検知、反応の緩和、積極的防御)にもかかわらず、提案されたソリューションの大半はRPKIを除いて、業界は解決方法を見いださなかった。しかしながら、その展開は依然として非常に乏しい。そのため、ネットワークは依然としてハイジャックに脆弱で、しばしば解決に数時間(または数日)要する

この投稿では、オペレータがBGPプレフィックス・ハイジャックから自分のネットワークを保護するために使用できる防御システムARTEMIS(Automatic and Real-Time dEtection and Mitigation System)を紹介する。実際に実験を行って、ARTEMISはプレフィックス・ハイジャックを数秒で検出し、1分以内に相殺できることを示した。現在の慣行よりも数桁速い。

要点:

  • ARTEMISは、監視、検知、緩和サービスからなるBGPプレフィックス・ハイジャックに対する防御システムであり、社内で運用される。
  • ハイジャックの検知と緩和の時間を数時間/日から数秒または数分に短縮する。
  • 手動および自動の緩和のためにシステムを構成することができる。

ARTEMIS概要

ARTEMISは、AS自体によって運用される包括的かつ正確な高速検知に基づいており、ハイジャックイベントの柔軟かつ迅速な緩和を可能にする。これは、ASが自分のプレフィックスを保護するために使用され、Network Operations Center(NOC)のVM/コンテナ上で動作するソフトウェアとして社内で運用される。オペレータはARTEMISを設定するだけで、ネットワークの広告されたプレフィックスとそのネイバー(設定ファイルは、IRRRPKI DBローカルルータの情報を使用して自動生成できる)に関する情報を提供する必要がある。

システムは、3つの主要なモジュール/サービスで構成される:

  1. 監視、パブリックモニタ(RIPE RISやRouteViewなど)およびローカルルータから情報を受信
  2. 検知、監視情報を構成ファイル(‘ground truth’)と比較することによって、ハイジャックイベントを識別
  3. 緩和措置、カスタマイズされた社内(またはオプションでアウトソーシング)メカニズムを介して、検出されたハイジャックイベントに自動的または手動で対応する
ARTEMIS1

図1 — ARTEMISシステムの概要

ARTEMISは、単純なハイジャック(例えば、保護されたネットワークの偽のオリジンまたは上流のASを含む)と、高度なハイジャック(例えば、サブプレフィックス、中間者、パス操作攻撃)の両方を検知できる。図2は、ARTEMISが後者の場合にどのように動作するかの例を示す(擬似リンクを用いた経路操作)。

ARTEMIS2

図2 — ARTEMISの運用例: 擬似リンク経由のパス操作とサブプレフィックス

ARTEMISがカバーする攻撃の包括的な分析と、他の関連する手法との比較については、我々の論文[PDF 459 KB]を参照して頂きたい。

監視

ARTEMISは、RIPE RISRouteViews(および最近取得したリアルタイムストリーミング機能)など、広範に公開されているBGP監視サービスを利用して、インターネット・コントロールプレーンを継続的に監視する。

具体的には、以下からリアルタイムBGPアップデートを受信する:

  • RIPE RISは、socket.ioインターフェースを使用してモニターする。
  • RouteViewsとRIPE RISは、BGPStream APIを使用してモニターする。
  • exaBGPとiBGP経由のローカルBGPルータを使用してモニターする。

我々の研究では、既存の公共の監視インフラが、影響を受けるハイジャックイベントをすべてリアルタイムで検知できることを示した。事実、ハイジャッカーはいくつかの手段を用いて(つまり、BGPモニターには見えない)ステルス性を達成することができるが、これは限られた影響でしか達成できない(ASレベルの汚染の1〜2%未満)。

より多くのモニタをライブストリーミングに移行すると、グローバルな可視性がさらに向上し、検出時間が短縮される。

検知

検知は、監視モジュール/サービスによって受信されたBGPアップデートを照合する事によって運用され、再度ローカル構成ファイル(例えば、オリジン/隣接ASNおよび広告されたプレフィックス)および知識ベース(例えば、観測されたASレベルのリンクと関連するメタデータ)がARTEMISによって自動的に作成され、ローカルに保存される。

ARTEMISの検知手法は:

  • 包括的に、コントロールプレーンで表示される可能性のあるすべての攻撃の種類を検知する。
  • 正確性、基本的なハイジャックタイプ(例えば、偽の発信元/アップストリームアナウンス、または任意のタイプのサブプレフィックスハイジャック)に対してフォールス・ポジティブ/フォールス・ネガティブを出さず、他に向けては非常に低い調整可能なFP-FNトレードオフ(例えば、パス操作攻撃など)を生成する。
  • 高速性、具体的には、PEERINGテストベッドを使用した実際の実験に基づいて、リアルタイムの監視と検知の段階が、わずか数秒で済み、これは既存の検出システムとの大きな相違点である(図3参照)。
ARTEMIS3

図3 — ARTEMIS検知遅延ソース(ボックスプロット; y軸); 文字(x軸)は、被害者とハイジャッカーとして使用される異なるPoPを示す

緩和

信頼性の高い検知情報を活用して、ARTEMISはハイジャックイベントの自動緩和を可能にする。

緩和は検知時に直ちに開始することができる。必要に応じて手動による緩和(たとえば、オペレータの承認待ち)も可能である。さらに、緩和は柔軟性がある。たとえば、プレフィックス、ハイジャックの種類、観測された影響などを設定できます。

現在、ARTEMISは2つの主要な緩和方法を提供している。

  1. 最初の1つは、ネットワークをプレフィックスのデアグリゲーションによって反応させて、自分のルータにトラフィックを引き戻す「自分で何とかする」方法に基づいている。この手法は、すべてのフィルタリングされていない/24よりスペシフィックではない場合に対して効果的である。
  2. /24プレフィックスへの攻撃に対して、ARTEMISは、今日提供されているサービスとしてのDDoS保護と同様の緩和ソリューションを可能にします。特に、影響を受けたASは、他の(協調している)ネットワークに、自社の敷地(複数のオリジンAS)からハイジャックされたプレフィックスを通知し、引き付けられたトラフィックを被害者(例えば、被害者の上流プロバイダー)にトンネリングすることができる。

図4に示すように、PEERING 実験に基づいて、ハイジャックの監視-検知-緩和サイクルには最大1分が必要である。したがって、現在の手動介入のアプローチから逸脱し、ネットワーク自体に焦点を当て、防衛対策の反応時間を大幅に短縮する。

ARTEMIS4

図4 — PEERINGテストベッドの実世界の実験; 検知および緩和サイクル (source [PDF 459 KB])

最先端

ネットワーク事業者は現在、2つの主要な防御タイプを使用して、BGPプレフィックスのハイジャックを処理している: それは、RPKIのような事前対策と、オペレータが手作業で確認および解決する必要があるアラートを発生させるサードパーティの検知サービス(例えば、プレフィックスのデアグリゲーションまたは、フィルタリングのために他のネットワークと連携)のような受け身の対策である。

一方では、RPKIやBGPsecのような技術は、グローバルに展開されている場合にのみ、完全に有効です(そして、潜在的な攻撃をすべて防ぎきるわけではない)。現実的には、関連する技術的および財務的なコスト/リスク、限られた採用と導入の間の循環的な依存性のために、事業者は導入することを渋っている(現在、ROAによってカバーされているプレフィックスは10%に満たない) (図5参照)。

ARTEMIS5

図5 — RPKIが使えない理由 (source [PDF 147 KB]).

一方、現在のサードパーティサービスは、次のような複数の問題を抱えている:

  1. 単純な攻撃だけを検出するため、包括性が限られている
  2. FPとFNの両方に関して、限定された精度である
  3. ハイジャックの解決の遅れ
  4. プライバシーと個人情報(ネットワークのルーティングポリシーなど)を共有する必要性に関する妥協点

従って、この体制の下では、プレフィックス・ハイジャックは、被害ネットワークのコストと評判の面で致命的な結果をもたらし、危機的な期間(最大6日)ネットワークに影響を与える(図6参照)。

ARTEMISは、これらの時間を数時間から数分に短縮し、ネットワークコミュニティにとって実用的で有用なツールになることを目指している。

ARTEMIS6

図6 — 運用中のネットワークがハイジャックの影響を受けた時間 (source [PDF 147 KB]).

次は何か?

ARTEMISは現在開発中で、最近の更新についてはRIPE 76 Routing WGで発表した。オペレーターは、私たちの関連アンケートに是非とも答えて頂きたい。私たちは連絡先情報を案内しているウェブサイトを訪問し、ARTEMISの論文[459 KB]を読んで、関連調査の結果の確認[PDF 254 KB]、およびデモ[PDF 146 KB]を行って頂きたい。

さらに、テスト目的(例えば、実際の構成や設定)のために、ARTEMISを運用環境に統合すること、さらには新しいサービスの改善や追加のフィードバックを歓迎する。

謝辞

ARTEMISはINSPIREグループCAIDAが率いる共同研究である。ソフトウェア開発段階では、RIPEコミュニティプロジェクト基金2017からの資金援助を受けている。この研究は、欧州研究評議会(助成協定番号338402)、国立科学財団(助成金CNS-1423659)、国土安全保障省(DHS) サイエンスセキュリティ局サイバーセキュリティ部門(DHS S&T/CSD)(契約番号:HHSP233201600012C)によって支援されている。