MANRS — общепринятые нормы безопасной маршрутизации

MANRS (Mutually Agreed Norms for Routing Security) — это глобальная инициатива, поддержаная the Internet Society, направленная на создание, распространение и внедрение механизмов и средств для уменьшения самых значимых угроз маршрутизации.

Эта инициатива возникла в следствие постоянного роста глобальных угроз безопасности интернет-маршрутизации. Ежедневно возникают десятки инцидентов, которые влияют на систему маршрутизации. "Кража" маршрутов / префиксов (route hijacking), утечка маршрутов (route leaks), подделка IP адресов (IP address spoofing) и другие вредоносные действия приводят к DDoS атакам, отслеживанию трафика (traffic inspection), упущеной выгоде, репутационным потерям и пр. Эти угрозы глобальны: проблемы у одного оператора влияют на всех остальных как цепная реакция.

Инициатива MANRS предусматривает следующие способы решения самых распространенных проблем маршрутизации:

Угроза: "Кража" префиксов / маршрутов

Объяснение: Оператор или злоумышленник выдает себя за другую сеть имитируя, что сервер или сеть — это их клиент.

Последствия: Пакеты направляются по ложному назначению, что может привести к DDoS-атаке или перехвату трафика.

Решение: Более жесткие политики фильтрации.

Угроза: Утечка маршрутов

Объяснение: Оператор через несколько апстримов (часто из-за случайной или неправильной конфигурации) анонсирует одному апстрим-провайдеру, что у него есть маршрут к пункту назначеня через другого апстрим-провайдера.

Последствия: Может использоваться для отслеживания и перехвата трафика.

Решение: Более жесткие политики фильтрации.

Угроза: подделка IP адресов

Объяснение: злоумышенник создает пакеты с фальшивым IP адресом источника, чтобы скрыть идентификацию отправителя или выдать себя за другую вычислительную систему.

Последствия: Первопричина создания DDoS атак.

Решение: Проверка адреса источника.

Для решения указанных проблем существуют следующие инструменты:

• фильтрация префиксов и AS-path
• RPKI валидатор, IRR toolset, IRRPT, BGPQ3
• BGPSEC

Но эти инструменты не достаточно широко используются, а так же для их использования не достаточно надежных данных. Поэтому необходим стандартизованный подход к повышению безопасности маршрутизации.

Точки обмена трафиком являются сверхважным звеном в построении системы безопасности маршрутизации. MАNRS позволяет IXP постоить "безопасную среду", используя базовые линии безопасности MANRS.

Как IXP, объединившая более 2400 автономных систем, DTEL-IX держит руку на пульсе самых актуальных проблем и потребностей интернет-сообщества. Поэтому участие в инициативе MANRS — это наш вклад в безопасность маршрутизации не только для наших участников, а и глобально для сети Интернет.

DTEL-IX выполнил все требования, предусмотренные MANRS для IXP. Это значит, что наша точка стала более надежной и устойчивой к угрозам неправильной маршрутизации, т.е. создала более более надежную среду для работы наших Участников.

Поскольку риски некоректной маршрутизации являются глобальными и влияющими на всех, DTEL-IX рекомендует всем операторам и провайдерам присоединиться к инициативе MANRS. Участие в инициативе MANRS позволит оператору:

• помочь решить глобальные проблемы маршрутизации;
• повысить свою конкурентоспособность путем повышения надежности и устойчивости своей инфраструктуры;
• из поставщика услуг превратиться в партнера по безопасности.

Сделаем Интернет лучше!