MANRS — загально прийняті норми безпеки маршрутизації

MANRS RGB vertical logo dark

MANRS (Mutually Agreed Norms for Routing Security) — це глобальна ініцітива, підтримана the Internet Society, спрямована на створення, розповсюдження та впровадження механізмів та засобів для зменшення найбільших загроз мрашрутизації.

Ця ініціатива виникла внаслідок невпинного зростання глобальних загроз безпеці Інтернет маршрутзації. Щоденно трапляються десятки інцидентів, що впливають на систему маршрутизації. "Викрадення" маршрутів / префіксів (route hijacking), витік маршрутів (route leaks), підробка IP адрес (IP address spoofing) та інші шкідливі дії призводять до DDoS атак, відслідковування трафіку (traffic inspection), втраченої вигоди, репутаційних втрат та ін. Ці загрози глобальні: проблеми в одного з оператірв впливають на всі інші як ланцюгова реакція.

Ініціатива MANRS передбачає наступні способи рішення найрозповсюдженіших проблем маршрутизації:

Загроза: "Викрадення" префіксів / маршрутів

Пояснення: Оператор або зловмисник видає себе за іншу мережу, імітуючи, що сервер або мережа - це їх клієнт.

Наслідки: Пакети направляються за хибним призначеннням, що може спричинити DDoS-у або перехоплення трафіку.

Рішення: Жорсткіші політики фільтрації.

 

Загроза: Витік маршрутів

Пояснення: Оператор через кілька апстрімів (часто через випадкову неправильну конфігурацію) анонсує одному апстрім-провайдеру, що в нього є маршрут до пункту призначення через іншого апстрім-провайдера.

Наслідки: Може використовуватися для відслідковування та перехоплення трафіку.

Рішення: Жорсткіші політики фільтрації.

 

Загроза: підробка IP адрес

Пояснення: зловмисник створює пакети з підробною IP адресою джерела, щоб приховати ідентифікацію відправника або видати себе за іншу обчислювальну систему.

Наслідки: Першопричина створення DDoS атак.

Рішення: Перевірка адреси джерела.

 

Для рішення вказаних проблем існують наступні інструменти:

  • фільтрація префіксів та AS-path
  • RPKI валідатор, IRR toolset, IRRPT, BGPQ3
  • BGPSEC

 

Але ці інструменти не достатньо широко використовуються, а також для їх використання не достатньо надійних даних. Тому необідний стандартизований підхід до підвищення безпеки маршрутизації.

Точки обміну трафіком є надважливою ланкою в побудові системи безпеки маршрутизації. MАNRS дозволяє IXP побудувати "безпечне середовище", використовуючи базові лінії безпеки MANRS.

Як IXP, що об'єднала понад 2400 автономних систем, DTEL-IX тримає руку на пульсі найактуальніших проблем та потреб інтернет-спільноти. Тому участь в ініціативі MANRS — це наш внесок в безпеку маршрутизації не тільки для наших учасників, а й глобально для мережі Інтернет.

DTEL-IX виконав всі вимоги, передбачені MANRS для IXP. Це означає, що наша точка стала надійнішою та стійкішою до загроз некоректної маршрутизації, тобто сворила надійніше середовище для роботи наших Учасників.

Оскільки ризики маршрутизації є глобальними та такими, що впливають на всіх, DTEL-IX рекомендує всім операторам та провайдерам приєднатися до ініціативи MANRS. Участь в ініціативі MANRS дозволить оператору:

  • допомогти вирішити глобальні проблеми маршрутизації;
  • підвищити свою конкурентоздатність шляхом підвищення надійності та стійкості своєї інфраструктури;
  • з постачальника послуг перетворитися на партнера з безпеки.

 

Зробимо Інтернет кращим разом!