Agentschap Telecom doet aanbevelingen voor beveiligen BGP
Het Agentschap Telecom heeft verschillende aanbevelingen gepubliceerd voor het beveiligen van het Border Gateway Protocol, dat wordt gebruikt om verkeer tussen internetproviders te routeren en essentieel is voor de werking van het internet.
BGP werkt door een tabel van ip-netwerken of 'prefixes' bij te houden die de netwerkbereikbaarheid tussen autonome systemen aangeeft. Dit zijn onafhankelijk beheerde netwerken, bijvoorbeeld van internetproviders. Via BGP wordt de meest efficiënte route gezocht voor het routeren van verkeer.
In het verleden zijn er meerdere incidenten met BGP-hijacking geweest waarbij aanvallers het internetverkeer via hun netwerken weten te routeren en zo kunnen onderscheppen of manipuleren. Aanvallers doen dit door aan te kondigen dat ze eigenaar van bepaalde ip-prefixes zijn, terwijl dit in werkelijkheid niet het geval is.
"Zonder BGP kan er ook geen internet zijn. Beveiliging van dat protocol is dan ook erg belangrijk. Om beheerders van autonome systemen daarbij te helpen hebben we een aantal best practices in een infographic verzameld. Als iedereen die met BGP te maken heeft de best practices volgt beperken we gezamenlijk de risico's", zo laat het Agentschap Telecom vandaag weten.
De aanbevelingen bestaan onder andere uit monitoring, detectie, filtering, gebruik van Resource Public Key Infrastructure (RPKI) en TTL Security. Zo moet RPKI het kapen van routes voorkomen en is TTL Security bedoeld om aanvallen met vervalste ip-pakketten tegen te gaan.
"Organisaties zoals internetproviders en ondernemingen worden aangemoedigd om deze aanbevelingen te implementeren, aangezien ze de security en stabiliteit van het internet verbeteren. Een veerkrachtig internet is essentieel voor het publieke welzijn en economische stabiliteit", stelt het Agentschap Telecom.
Reacties (13)
17-12-2020, 15:30 door
Anoniem
Ik zet zelf altijd de TTL op 1 in de router maar toen ik ook een rule had toegevoegd in de firewall die checked of the
TTL bij de peer wel op 1 stond kwamen er allerlei problemen omdat kennelijk niet alle peers in staat waren deze
instelling te doen. Ik ben er eigenlijk nooit achter gekomen of hun routers dat niet konden of dat het de admins waren
die dat niet konden.
Toch maar weer eens proberen aan de orde te stellen...
TTL bij de peer wel op 1 stond kwamen er allerlei problemen omdat kennelijk niet alle peers in staat waren deze
instelling te doen. Ik ben er eigenlijk nooit achter gekomen of hun routers dat niet konden of dat het de admins waren
die dat niet konden.
Toch maar weer eens proberen aan de orde te stellen...
17-12-2020, 18:15 door
Anoniem
wat is dat nu voor onzin? zonder bgp geen internet.
natuurlijk kun je elk routeringsprotocol voor internet gebruiken, desnoods statische routes.
onhandig, ja, bijna onwerkzaam, ook wel, maar onmogelijk, nee, zeker niet
natuurlijk kun je elk routeringsprotocol voor internet gebruiken, desnoods statische routes.
onhandig, ja, bijna onwerkzaam, ook wel, maar onmogelijk, nee, zeker niet
17-12-2020, 18:41 door
Anoniem
Door Anoniem: wat is dat nu voor onzin? zonder bgp geen internet.
natuurlijk kun je elk routeringsprotocol voor internet gebruiken, desnoods statische routes.
onhandig, ja, bijna onwerkzaam, ook wel, maar onmogelijk, nee, zeker niet
Je kunt wel proberen over te stappen op een ander protocol, maar de ervaring met IPv6 leert dat dat een operatienatuurlijk kun je elk routeringsprotocol voor internet gebruiken, desnoods statische routes.
onhandig, ja, bijna onwerkzaam, ook wel, maar onmogelijk, nee, zeker niet
is die 20 jaar gaat duren als er geen dwang achter zit.
En het zal waarschijnlijk nog best lastig zijn om een geleidelijke overstap te doen waarbij iedereen op een moment dat
em zelf goed uitkomt de overstap maakt...
Daarom worden er steeds pleisters op het bestaande protocol geplakt.
Vergelijk het met het gebruik van SMTP voor mail, daar kom je ook niet meer vanaf en wordt ook vanalles op geplakt
zoals STARTTLS, SPF, DKIM, DMARC enz enz.
17-12-2020, 18:48 door
Anoniem
Door Anoniem: Ik zet zelf altijd de TTL op 1 in de router maar toen ik ook een rule had toegevoegd in de firewall die checked of the
TTL bij de peer wel op 1 stond kwamen er allerlei problemen omdat kennelijk niet alle peers in staat waren deze
instelling te doen. Ik ben er eigenlijk nooit achter gekomen of hun routers dat niet konden of dat het de admins waren
die dat niet konden.
Toch maar weer eens proberen aan de orde te stellen...
TTL bij de peer wel op 1 stond kwamen er allerlei problemen omdat kennelijk niet alle peers in staat waren deze
instelling te doen. Ik ben er eigenlijk nooit achter gekomen of hun routers dat niet konden of dat het de admins waren
die dat niet konden.
Toch maar weer eens proberen aan de orde te stellen...
Liever niet - Je doet juist de verkeerde check .
Lees de RFC over het TTL security mechanisme .
Als ik 10 hops verderop zit, zet ik de TTL op 11, en komt ik bij jouw firewall precies aan met TTL=1 .
https://tools.ietf.org/html/rfc5082
Je wilt de TTL op 255 zetten en daarop controleren omdat alleen een directe peer verkeer met TTL = 255 (of evt 254, als de decrement in het uitgaande interface gedaan wordt) kan afleveren.
Iedere aanvaller die een hop verder zit , komt met een te lage TTL aan.
17-12-2020, 18:48 door
Anoniem
Door Anoniem: wat is dat nu voor onzin? zonder bgp geen internet.
natuurlijk kun je elk routeringsprotocol voor internet gebruiken, desnoods statische routes.
onhandig, ja, bijna onwerkzaam, ook wel, maar onmogelijk, nee, zeker niet
Yep, klopt.natuurlijk kun je elk routeringsprotocol voor internet gebruiken, desnoods statische routes.
onhandig, ja, bijna onwerkzaam, ook wel, maar onmogelijk, nee, zeker niet
- Nederland werd in 1982 aangesloten op het internet (CWI)
- In 1993 kwam Internet in Nederland publiekelijk beschikbaar door XS4ALL (ontstaan vanuit Hacktic).
- BGP is in 1994 op het internet in gebruik gekomen.
BGP is dus niet randvoorwaardelijk voor 'het internet'; met de hedendaagse complexiteit en omvang zijn we wel heel afhankelijk van BGP. Maar de stelling: 'zonder BGP geen internet' is inderdaad iets te kort door de bocht.
17-12-2020, 18:49 door
Anoniem
Door Anoniem: wat is dat nu voor onzin? zonder bgp geen internet.
natuurlijk kun je elk routeringsprotocol voor internet gebruiken, desnoods statische routes.
onhandig, ja, bijna onwerkzaam, ook wel, maar onmogelijk, nee, zeker niet
natuurlijk kun je elk routeringsprotocol voor internet gebruiken, desnoods statische routes.
onhandig, ja, bijna onwerkzaam, ook wel, maar onmogelijk, nee, zeker niet
Geboren pedant ?
Ga maar RSA-2048 op papier doen - en kom niet terug voordat je klaar bent.
17-12-2020, 19:08 door
Anoniem
Door Anoniem: wat is dat nu voor onzin? zonder bgp geen internet.
natuurlijk kun je elk routeringsprotocol voor internet gebruiken, desnoods statische routes.
Nou in de beginjaren ging het wel zo. Geen DNS, geen DHCP. Afzien was het.natuurlijk kun je elk routeringsprotocol voor internet gebruiken, desnoods statische routes.
17-12-2020, 22:19 door
Anoniem
Door Anoniem:
Liever niet - Je doet juist de verkeerde check .
Lees de RFC over het TTL security mechanisme .
Als ik 10 hops verderop zit, zet ik de TTL op 11, en komt ik bij jouw firewall precies aan met TTL=1 .
https://tools.ietf.org/html/rfc5082
Je wilt de TTL op 255 zetten en daarop controleren omdat alleen een directe peer verkeer met TTL = 255 (of evt 254, als de decrement in het uitgaande interface gedaan wordt) kan afleveren.
Iedere aanvaller die een hop verder zit , komt met een te lage TTL aan.
Door Anoniem: Ik zet zelf altijd de TTL op 1 in de router maar toen ik ook een rule had toegevoegd in de firewall die checked of the
TTL bij de peer wel op 1 stond kwamen er allerlei problemen omdat kennelijk niet alle peers in staat waren deze
instelling te doen. Ik ben er eigenlijk nooit achter gekomen of hun routers dat niet konden of dat het de admins waren
die dat niet konden.
Toch maar weer eens proberen aan de orde te stellen...
TTL bij de peer wel op 1 stond kwamen er allerlei problemen omdat kennelijk niet alle peers in staat waren deze
instelling te doen. Ik ben er eigenlijk nooit achter gekomen of hun routers dat niet konden of dat het de admins waren
die dat niet konden.
Toch maar weer eens proberen aan de orde te stellen...
Liever niet - Je doet juist de verkeerde check .
Lees de RFC over het TTL security mechanisme .
Als ik 10 hops verderop zit, zet ik de TTL op 11, en komt ik bij jouw firewall precies aan met TTL=1 .
https://tools.ietf.org/html/rfc5082
Je wilt de TTL op 255 zetten en daarop controleren omdat alleen een directe peer verkeer met TTL = 255 (of evt 254, als de decrement in het uitgaande interface gedaan wordt) kan afleveren.
Iedere aanvaller die een hop verder zit , komt met een te lage TTL aan.
Dat is een manier. Maar als ik de TTL op 1 zet en jij zit 11 hops weg dan krijg je de SYN ACK niet binnen en komt
er dus nooit een connectie. De check op TTL = 1 is meer om te controleren of jij het aan jouw kant ook wel goed hebt
ingesteld...
En die manier om met 255 te beginnen en dan op 254 te checken is denk ik meer bedacht voor routers waar je de TTL
van BGP verkeer niet kunt instellen.
17-12-2020, 23:42 door
Anoniem
Door Anoniem:
Dat is een manier. Maar als ik de TTL op 1 zet en jij zit 11 hops weg dan krijg je de SYN ACK niet binnen en komt
er dus nooit een connectie. De check op TTL = 1 is meer om te controleren of jij het aan jouw kant ook wel goed hebt
ingesteld...
Door Anoniem:
Liever niet - Je doet juist de verkeerde check .
Lees de RFC over het TTL security mechanisme .
Als ik 10 hops verderop zit, zet ik de TTL op 11, en komt ik bij jouw firewall precies aan met TTL=1 .
https://tools.ietf.org/html/rfc5082
Je wilt de TTL op 255 zetten en daarop controleren omdat alleen een directe peer verkeer met TTL = 255 (of evt 254, als de decrement in het uitgaande interface gedaan wordt) kan afleveren.
Iedere aanvaller die een hop verder zit , komt met een te lage TTL aan.
Door Anoniem: Ik zet zelf altijd de TTL op 1 in de router maar toen ik ook een rule had toegevoegd in de firewall die checked of the
TTL bij de peer wel op 1 stond kwamen er allerlei problemen omdat kennelijk niet alle peers in staat waren deze
instelling te doen. Ik ben er eigenlijk nooit achter gekomen of hun routers dat niet konden of dat het de admins waren
die dat niet konden.
Toch maar weer eens proberen aan de orde te stellen...
TTL bij de peer wel op 1 stond kwamen er allerlei problemen omdat kennelijk niet alle peers in staat waren deze
instelling te doen. Ik ben er eigenlijk nooit achter gekomen of hun routers dat niet konden of dat het de admins waren
die dat niet konden.
Toch maar weer eens proberen aan de orde te stellen...
Liever niet - Je doet juist de verkeerde check .
Lees de RFC over het TTL security mechanisme .
Als ik 10 hops verderop zit, zet ik de TTL op 11, en komt ik bij jouw firewall precies aan met TTL=1 .
https://tools.ietf.org/html/rfc5082
Je wilt de TTL op 255 zetten en daarop controleren omdat alleen een directe peer verkeer met TTL = 255 (of evt 254, als de decrement in het uitgaande interface gedaan wordt) kan afleveren.
Iedere aanvaller die een hop verder zit , komt met een te lage TTL aan.
Dat is een manier. Maar als ik de TTL op 1 zet en jij zit 11 hops weg dan krijg je de SYN ACK niet binnen en komt
er dus nooit een connectie. De check op TTL = 1 is meer om te controleren of jij het aan jouw kant ook wel goed hebt
ingesteld...
Default is/was al dat eBGP met TTL=1 naar buiten gaat, zodat je alleen een directly connected peer kunt configureren.
Maar deze thread gaat over BGP _security_ , en daarvoor heeft een TTL=1 check geen waarde.
Er zijn goede redenen waarom je aanvallers ook geen kans wilt geven om one-way verkeer naar je control plane af te leveren.
En die manier om met 255 te beginnen en dan op 254 te checken is denk ik meer bedacht voor routers waar je de TTL
van BGP verkeer niet kunt instellen.
Er zijn/waren platformen waarop de uitgaande lijnkaart een TTL decrement doet van verkeer, ook als het afkomstig van main processor. Dan wel , waar de ontvangende lijnkaart eerst de decrement TTL doet voordat de vergelijking TTL= gedaan wordt .
Dat is de reden waarom je de ontvangende check eventueel op 254 doet en niet op 254 .
Maar voor het doel 'een aanvaller die meer dan één hop weg zit kan nooit matchend verkeer leveren' werkt alleen met de hoogst mogelijke TTL waarde als start.
18-12-2020, 11:17 door
Anoniem
Door Anoniem:
Default is/was al dat eBGP met TTL=1 naar buiten gaat, zodat je alleen een directly connected peer kunt configureren.
Maar deze thread gaat over BGP _security_ , en daarvoor heeft een TTL=1 check geen waarde.
Er zijn goede redenen waarom je aanvallers ook geen kans wilt geven om one-way verkeer naar je control plane af te leveren.
Default is/was al dat eBGP met TTL=1 naar buiten gaat, zodat je alleen een directly connected peer kunt configureren.
Maar deze thread gaat over BGP _security_ , en daarvoor heeft een TTL=1 check geen waarde.
Er zijn goede redenen waarom je aanvallers ook geen kans wilt geven om one-way verkeer naar je control plane af te leveren.
BGP werkt met TCP. Dat betekent dat er alleen verkeer kan worden afgeleverd als er beide kanten op connectiviteit is.
Met uitgaand verkeer op TTL 1 is dat niet mogelijk als de peer meer dan 1 hop weg zit. Immers die krijgt nooit de SYN ACK.
18-12-2020, 13:28 door
Anoniem
BGP multihop moet je uiteraard niet op 255 zetten, dan kan elke gespoofte peer tussen dit aantal hops je verbinding kapen.
Er zijn omdat dit een meerledig issue is meerdere zaken die ook moeten gebeuren,
BCP84 en BCP38.
Oftewel antspoofing. Ik snap niet dat daar een supergeleerde, of in dit geval het Agentschap Telecom iets over moet blaten. Dit zijn items die standaard bekend zijn bij netwerkspecialisten. Het wordt tijd dat men luistert naar hun specialisten.
Er zijn omdat dit een meerledig issue is meerdere zaken die ook moeten gebeuren,
BCP84 en BCP38.
Oftewel antspoofing. Ik snap niet dat daar een supergeleerde, of in dit geval het Agentschap Telecom iets over moet blaten. Dit zijn items die standaard bekend zijn bij netwerkspecialisten. Het wordt tijd dat men luistert naar hun specialisten.
18-12-2020, 13:50 door
Anoniem
Door Anoniem:
BGP werkt met TCP. Dat betekent dat er alleen verkeer kan worden afgeleverd als er beide kanten op connectiviteit is.
Met uitgaand verkeer op TTL 1 is dat niet mogelijk als de peer meer dan 1 hop weg zit. Immers die krijgt nooit de SYN ACK.
Door Anoniem:
Default is/was al dat eBGP met TTL=1 naar buiten gaat, zodat je alleen een directly connected peer kunt configureren.
Maar deze thread gaat over BGP _security_ , en daarvoor heeft een TTL=1 check geen waarde.
Er zijn goede redenen waarom je aanvallers ook geen kans wilt geven om one-way verkeer naar je control plane af te leveren.
Default is/was al dat eBGP met TTL=1 naar buiten gaat, zodat je alleen een directly connected peer kunt configureren.
Maar deze thread gaat over BGP _security_ , en daarvoor heeft een TTL=1 check geen waarde.
Er zijn goede redenen waarom je aanvallers ook geen kans wilt geven om one-way verkeer naar je control plane af te leveren.
BGP werkt met TCP. Dat betekent dat er alleen verkeer kan worden afgeleverd als er beide kanten op connectiviteit is.
Met uitgaand verkeer op TTL 1 is dat niet mogelijk als de peer meer dan 1 hop weg zit. Immers die krijgt nooit de SYN ACK.
Zuch en zucht. Ik zit hier niet om aanvallers wijs te maken .
Als je iets van doen hebt met internet facing BGP routers - ga leren over router security - en router architectuur. De vendors van die dingen hebben een hoop presentaties.
Denk breder over risico's dan "er is niks aan de hand als er maar geen twee weg verkeer mogelijk is".
18-12-2020, 18:58 door
Anoniem
Door Anoniem: BGP multihop moet je uiteraard niet op 255 zetten, dan kan elke gespoofte peer tussen dit aantal hops je verbinding kapen.
Er zijn omdat dit een meerledig issue is meerdere zaken die ook moeten gebeuren,
BCP84 en BCP38.
Oftewel antspoofing. Ik snap niet dat daar een supergeleerde, of in dit geval het Agentschap Telecom iets over moet blaten. Dit zijn items die standaard bekend zijn bij netwerkspecialisten. Het wordt tijd dat men luistert naar hun specialisten.
Er zijn omdat dit een meerledig issue is meerdere zaken die ook moeten gebeuren,
BCP84 en BCP38.
Oftewel antspoofing. Ik snap niet dat daar een supergeleerde, of in dit geval het Agentschap Telecom iets over moet blaten. Dit zijn items die standaard bekend zijn bij netwerkspecialisten. Het wordt tijd dat men luistert naar hun specialisten.
Yep. Iedere netwerk specialist heeft bcp38 allang goed ingesteld.
https://spoofer.caida.org/country_stats.php
Ip6 draait bij allemaal al jaren, tls1.3 ook iedereen al in orde..mailservers hebben allemaal al láng spf, dkim, dmarc..
Maar inderdaad, niet iedere specialist heeft de ruimte waar die werkt om protocollen uit 1998 uit te faseren.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior specialist OSINT
Ben jij enthousiast en leergierig en wil je het cybercrimeteam Oost Nederland verder helpen in de aanpak van digitale criminaliteit? We zijn op zoek naar een junior specialist Open Source Intelligence (OSINT). Weet jij de digitale wereld van buiten naar binnen te halen? Dan is deze functie iets voor jou!
