Brainscape's Knowledge GenomeTM

Browse over 1 million classes created by top students, professors, publishers, and experts.


See full index

Infrastructure Security HvA > Samenvatting BGP > Flashcards

Samenvatting BGP Flashcards

1
Q

BGP attack objectives

BGP aanval objectieven

A
  1. Blackholing
  2. Loss of connectivity
  3. Redirection
  4. Subversion
  5. Persistent routing instability.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Leg Blackholing uit:

A

Elke router stuurt af en toe updates naar de direct verbonden routers om de nieuwe routes bekend te maken.
Deze aanval verwijst naar een specifieke router ( gecontroleerd door de aanvaller), dat alle verzoeken negeert. Op deze manier kunnen alle verzoeken niet meer verder dan deze router.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Leg Redirection uit:

A

Bij deze aanval wordt de nieuwe route gestuurd naar een andere bestemming, zodat alle informatie van de pakketten onderschept kunnen worden of naar verkeerde bestemming gestuurd worden waardoor deze bestemming overspoeld wordt.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Leg Subversion uit:

A

Soort van Redirection waarmee data kunnen gestolen of aangepast worden. Hiermee wordt de traffic naar een bepaalde bestemming gestuurd die gehakt is, vervolgens naar de juiste bestemming doorsturen.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Leg Instability uit:

A

Deze aanval leidt tot een connectie storing.

hiermee worden verschillende tegenstrijdig routes aan een router gegeven met verschillende attributen.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Intradomain en Interdomain domain attacks

A

Intra affect only things that are contained within that AS.

Interdomain can affect multiple ASes and are connected using the BGP protocol.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

BGP-routers kunnen worden gecompromitteerd door:

A
  1. Password sniffers
  2. kwetsbaarheden in het OS
  3. Eenvoudigweg wachtwoorden van de netwerkbeheerder
  4. met behulp van andere methoden te stelen
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

BGP aanvalsmechanismen

A

False UPDATEs and prefix hijacking,
De-aggregation, Contradictory ads, update modification, advertent link flapping, instability, congestion-induced BGP session failure

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

BGP aanvallen tegenmaatregelen:

A

Momenteel bieden leveranciers BCP (best common practices) aan, om hijacking en sommige andere aanvallen te voorkomen. Route filtering, sBGP zijn andere soorten tegenmaatregelen.
Maar zelfs als beide worden toegepast, kunnen ze nog steeds niet alle soorten aanvallen op het BGP-protocol tegenhouden.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Wat doet BGP TTL (Time To Live)?

A

Het beschermt tegen BGP session hijacken. Het toevoegt een waarde op de IP header TTL die BGP pakketten alleen toestaat dat de ontvanger BGP router te bereiken als de afstand hem en de zender één hop is.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

TCP MD5 signature wordt gebruikt ter bescherming?

A
  • Spoofed berichten en

- TCP session hijacking

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

Unicast Reverse Path Filtering

A

Wordt gebruikt om te controleren of het ontvangen BGP-bericht het juiste IP-adres heeft van de BGP-spreker waaraan wordt gekoppeld

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

Out-of-memory-aanvallen

A

Routerleveranciers inbouwen een (maxprefixlimit-functie) die een BGP-sessie beëindigt als een spreker veel te veel advertenties verstuurt.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Route filtering

A

Gebruikt om werkrelaties tussen ASen in te voeren. Dit werkt door het creëren van een toegangscontrolelijst van prefixen van ASes die bij het verzenden of ontvangen van UPDATEs wordt gebruikt.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

Wat doet Egress filters?

A

Zorgen voor uitgaande advertenties en laten de netwerkbeheerder toe te bepalen welke routes worden bekendgemaakt aan de peers.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

Wat doet Ingress filters?

A

Zorgen voor inkomende advertenties en worden gebruikt om de geldigheid van de ontvangen routes te controleren. Het voorkomt prefix hijacking aangezien het controleert of het origin AS van een route daadwerkelijk de eigenaar is van een prefix.
Hiervoor moeten ISP’s alle eigenaren van ieder netwerkblok weten met behulp van de Internet Routing Registries (IRR). De IRR’s worden echter niet goed bijgehouden en zijn inconsistent, waardoor nog meer problemen kunnen ontstaan.

17
Q

Wat is sBGP?

A

Is gemaakt door onderzoekers van BBN als een extensie van BGP om te beschermen tegen kwaadwillige UPDATEs.

18
Q
  • sBGP biedt drie lagen van beveiliging:
A
  1. PKI (Public Key Infrastructure voor authenticatie en autorisatie). De PKI autoriseert prefix-eigendom en valideert routes.
  2. Nieuwe transitieve eigenschap werd toegevoegd om de autorisatie van routing UPDATEs te garanderen. Het voorkomt dat updates worden gewijzigd door tussenliggende BGP-sprekers.
    1. IPSec werd geïntroduceerd in de routeringsberichten om indien nodig een laag van routeringsvertrouwelijkheid toe te voegen.
18
Q
  • sBGP biedt drie lagen van beveiliging:
A
  1. PKI (Public Key Infrastructure voor authenticatie en autorisatie). De PKI autoriseert prefix-eigendom en valideert routes.
  2. Nieuwe transitieve eigenschap werd toegevoegd om de autorisatie van routing UPDATEs te garanderen. Het voorkomt dat updates worden gewijzigd door tussenliggende BGP-sprekers.
    1. IPSec werd geïntroduceerd in de routeringsberichten om indien nodig een laag van routeringsvertrouwelijkheid toe te voegen.
19
Q

Twee eigenschappen van S-BGP die beide worden geautoriseerd door PKI, private sleutels worden opgeslagen in BGP routers en publieke sleutels worden beschikbaar gesteld door een hiërarchische PKI:

A
  1. Address Attestation, wordt aangemaakt door de eigenaar van een prefix en wordt gebruikt om te verifiëren dat het origin AS inderdaad gemachtigd is om dat adresblok te adverteren.
  2. Route Attestation, wordt toegevoegd door S-BGP routers in UPDATEs om buur ASen te machtigen de route te publiceren die in de update is bevat.
20
Q

S-BGP implementatie is moeilijk om een aantal redenen:

A
  1. Het vereist een hiërarchische PKI die wordt vertrouwd door alle deelnemende ISP’s.
  2. S-BGP is cryptografisch intensief omdat elke UPDATE door elke S-BGP router moet worden ondertekend en geverifieerd. Wat kan leiden tot een grote prestatie-overhead.
  3. Omdat routers hun private sleutels moeten opslaan voor de Route Attestation functie, vereist dat een grote geheugenruimte (20 MB) per peer, wat intensief kan zijn voor routers met meerdere peers of zelfs tientallen peers.
21
Q

Andere oplossingen zijn soBGP (Secure Origin BGP), dat op drie soorten van certificaten is gebaseerd:

A
  1. Entiteitscertificaat: stelt de identiteit en de openbare sleutel van een AS vast.
  2. Autorisatiecertificaat: gebruikt om de eigendom van prefix te verifiëren.
  3. Beleidscertificaat: wordt gebruikt om de geldigheid van een route te verifiëren.
22
Q

Conflictdetectie op basis van MOAS:

A

Is een verbetering voor het BGP-protocol en als er potentiële MOAS-conflicten worden gevonden, gaat er een alarm af. Het werd ontwikkeld om valse advertenties en prefix hijacking op te sporen

23
Q

Interdomain Routing Validation “IRV”

A

Is een andere mogelijke maatregel die ook wordt gebruikt tegen valse advertenties en prefix hijacking door het controleren van de AS-oorsprong. Deze maatregel onderscheidt authenticatie van BPG. Elk AS zet een of meer IRV-servers op. Wanneer een server een UPDATE ontvangt, controleert hij de oorsprong en het routeringspad met de IRV-servers van elk AS in het AS-Path.

24
Q

RPKI staat voor Resource Public Key Infrastructure

A
  1. Het wordt gebruikt voor herkomstvalidatie.
  2. RPKI verandert de structuur van BGP-berichten niet
  3. Crypto gebeurt online
  4. Het certificeert IP prefix-toewijzingen.
  • Het zorgt voor een klein aantal sterke autoriteiten die internationale grenzen overschrijden.
  • RPKI verslaat alle sub-prefix en prefix hijacks.
  • 1-hop-hijack verslaat RPKI maar BGPSEC kan het wel.
  • RPKI is een essentiële stap naar BGP beveiliging aangezien het de aanvallers beperkt tot 1-hop-hijack aanvallen
25
Q

Er zijn nog een paar stappen om RPKI krachtiger te maken:

A
  1. Aanbevelingen voor het routeringsbeleid

2. Vergroten van de transparantie van certificaten (monitoring, logging, pinning, notarissen

26
Q

Graph Traversal Problem, omvang van het probleem is een enorme hoeveelheid informatie op te slaan voor een globaal overzicht, plus het verandert de hele tijd, heeft twee manieren om op te lossen:

A
  1. Centraal opgeslagen, globale kennis - Link State - Dijkstra’s algoritme, consumeert veel bandbreedte voor UPDATEs.
  2. Gedistribueerd - lokale kennis - Distance Vector - bouw kaart en deel deze met buren.
27
Q

Problemen met BGP:

A
  1. De meest specifieke route wordt gekozen (10.0.0.0/18 krijgt voorrang op 10.0.0.0/17) omdat die korter is ( meer specifiek).
  2. De kortere route krijgt de voorkeur en er wordt slechts één route gekozen.
  3. BGP is gebouwd op vertrouwen dat altijd faalt en heeft geen verificatieprotocol

Infrastructure Security HvA (1 decks)

Brainscape helps you reach your goals faster, through stronger study habits.
© 2024 Bold Learning Solutions. Terms and Conditions