MANRS — общепринятые нормы безопасной маршрутизации
MANRS (Mutually Agreed Norms for Routing Security) — это глобальная инициатива, поддержаная the Internet Society, направленная на создание, распространение и внедрение механизмов и средств для уменьшения самых значимых угроз маршрутизации.
Эта инициатива возникла в следствие постоянного роста глобальных угроз безопасности интернет-маршрутизации. Ежедневно возникают десятки инцидентов, которые влияют на систему маршрутизации. "Кража" маршрутов / префиксов (route hijacking), утечка маршрутов (route leaks), подделка IP адресов (IP address spoofing) и другие вредоносные действия приводят к DDoS атакам, отслеживанию трафика (traffic inspection), упущеной выгоде, репутационным потерям и пр. Эти угрозы глобальны: проблемы у одного оператора влияют на всех остальных как цепная реакция.
Инициатива MANRS предусматривает следующие способы решения самых распространенных проблем маршрутизации:
Угроза: "Кража" префиксов / маршрутов
Объяснение: Оператор или злоумышленник выдает себя за другую сеть имитируя, что сервер или сеть — это их клиент.
Последствия: Пакеты направляются по ложному назначению, что может привести к DDoS-атаке или перехвату трафика.
Решение: Более жесткие политики фильтрации.
Угроза: Утечка маршрутов
Объяснение: Оператор через несколько апстримов (часто из-за случайной или неправильной конфигурации) анонсирует одному апстрим-провайдеру, что у него есть маршрут к пункту назначеня через другого апстрим-провайдера.
Последствия: Может использоваться для отслеживания и перехвата трафика.
Решение: Более жесткие политики фильтрации.
Угроза: подделка IP адресов
Объяснение: злоумышенник создает пакеты с фальшивым IP адресом источника, чтобы скрыть идентификацию отправителя или выдать себя за другую вычислительную систему.
Последствия: Первопричина создания DDoS атак.
Решение: Проверка адреса источника.
Для решения указанных проблем существуют следующие инструменты:
- фильтрация префиксов и AS-path
- RPKI валидатор, IRR toolset, IRRPT, BGPQ3
- BGPSEC
Но эти инструменты не достаточно широко используются, а так же для их использования не достаточно надежных данных. Поэтому необходим стандартизованный подход к повышению безопасности маршрутизации.
Точки обмена трафиком являются сверхважным звеном в построении системы безопасности маршрутизации. MАNRS позволяет IXP постоить "безопасную среду", используя базовые линии безопасности MANRS.
Как IXP, объединившая более 2400 автономных систем, DTEL-IX держит руку на пульсе самых актуальных проблем и потребностей интернет-сообщества. Поэтому участие в инициативе MANRS — это наш вклад в безопасность маршрутизации не только для наших участников, а и глобально для сети Интернет.
DTEL-IX выполнил все требования, предусмотренные MANRS для IXP. Это значит, что наша точка стала более надежной и устойчивой к угрозам неправильной маршрутизации, т.е. создала более более надежную среду для работы наших Участников.
Поскольку риски некоректной маршрутизации являются глобальными и влияющими на всех, DTEL-IX рекомендует всем операторам и провайдерам присоединиться к инициативе MANRS. Участие в инициативе MANRS позволит оператору:
- помочь решить глобальные проблемы маршрутизации;
- повысить свою конкурентоспособность путем повышения надежности и устойчивости своей инфраструктуры;
- из поставщика услуг превратиться в партнера по безопасности.
Сделаем Интернет лучше!