По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие наши статьи:
img
Создание единого устройства обработки пакетов - маршрутизатор (или коммутатор уровня 3, который теперь обычно называют просто коммутатором), являющийся наиболее распространенным примером, был до этого момента в центре внимания. Пришло время соединить маршрутизаторы вместе. Рассмотрим сеть на рисунке 1. Приложение, работающее на хосте A, должно получить некоторую информацию от процесса, запущенного на F. Устройства B, C, D и E, конечно же, являются обработчиками пакетов (маршрутизаторами). Для пересылки пакетов между хостами A и F маршрутизатор B будет вызван для пересылки пакетов на F, даже если он не подключен к F. аналогично маршрутизаторам C и D потребуется пересылать пакеты как A, так и F, даже если они не подключены ни к одному из этих хостов. В том разделе рассматривается следующий вопрос: Как сетевые устройства создают таблицы, необходимые для пересылки пакетов по свободным от петель путям в сети? Ответ гораздо сложнее, чем может показаться на первый взгляд, поскольку на самом деле в нем содержится несколько проблем: Как устройства узнают о топологии сети, какие каналы связи подключены к каким устройствам и назначениям. Как плоскости управления принимают эту информацию и создают в сети пути без петель? Как плоскости управления обнаруживают изменения в сети и реагируют на них? Каким образом уровни управления масштабируются для удовлетворения потребностей крупномасштабных сетей? Какие политики реализованы на уровне управления и как? Все эти проблемы будут рассмотрены далее. Обнаружение топологии Сетевые диаграммы обычно показывают всего несколько типов устройств, включая маршрутизаторы, коммутаторы, системы, подключенные к сети (различные типы хостов) и различные типы устройств (например, межсетевые экраны). Они часто связаны между собой каналами, представленными в виде линий. Пример представлен на рисунке 2. Сетевые диаграммы, как и многие другие формы абстракции, скрывают много информации, чтобы сделать встроенную информацию более доступной. Во-первых, сетевые диаграммы обычно находятся где-то между логическим и физическим представлением сети. Такие диаграммы обычно не показывают каждое физическое соединение в сети. Например, сетевая диаграмма может показывать связку каналов как одну линию связи или один физический провод, который был мультиплексирован как несколько логических каналов (например, Ethernet или какой-либо другой канал широковещательной передачи, который представляет собой один физический канал, используемый несколькими устройства для связи). Примечание В сетевой инженерии часто возникает некоторая путаница с термином мультиплексирование. Многие инженеры склонны рассматривать совместное использование двух виртуальных каналов как единственную форму сетевого мультиплексирования. Однако всякий раз, когда есть несколько устройств, совместно использующих одну линию связи, ситуация, в конечном счете требующая некоторой формы адресации, временного разделения трафика или частотного разделения трафика, используется мультиплексирование. Виртуализацию можно рассматривать как второй уровень мультиплексирования или мультиплексирование поверх мультиплексирования. Во-вторых, сетевые схемы часто не учитывают логическую сложность сервисов. Однако плоскость управления не маскирует такого рода сложности. Вместо этого плоскость управления должна собирать информацию о сети локально и с других плоскостей управления, объявлять ее другим устройствам, на которых работает плоскость управления, и создавать набор таблиц, которые плоскость данных может использовать для пересылки трафика через каждое устройство в сети от источника к месту назначения. В этой статье мы рассмотрим проблему: Как плоскость управления узнает о сети? Этот вопрос можно разбить на несколько частей: О чем пытается узнать плоскость управления? Или, возможно, каковы компоненты топологии сети? Как плоскость управления узнает об устройствах, подключенных к сети? Какие основные классификации используются при описании объявления информации о сети? Узлы сети, границы и достижимый пункт назначения. Первая проблема, которую необходимо решить, на самом деле является мета-вопросом: какие виды информации должна изучать и распространять плоскость управления, чтобы строить пути без петель в сети? Однако небольшое предупреждение по поводу следующего материала статьи: сетевые термины трудно однозначно определить, поскольку отдельные термины часто используются для описания множества "вещей" в сети, в зависимости от контекста, в котором они используются. Узел Узел либо обрабатывает пакеты (включая пересылку пакетов), либо отправляет пакеты, либо принимает пакеты в сети. Термин взят из теории графов, где их также можно назвать вершинами, хотя этот термин более широко применяется в сетевой инженерии. В сети есть несколько типов узлов, в том числе: Транзитный узел: любое устройство, предназначенное для приема пакетов на одном интерфейсе, их обработки и отправки на другом интерфейсе. Примерами транзитных узлов являются маршрутизаторы и коммутаторы. Их часто просто называют узлами, так они будут именоваться здесь в статье, а не транзитными узлами. Конечный узел: также называется конечной системой или хостом: любое устройство, предназначенное для запуска приложений, которые генерируют и/или принимают пакеты от одного или нескольких интерфейсов. Это сетевые источники и приемники, чаще всего эти узлы на самом деле называются хостами, а не конечными узлами, чтобы отличать их от shorthand узлов, что обычно означает транзитный узел. В этих двух определениях есть много очевидных дыр. Как должно называться устройство, которое принимает пакет на одном интерфейсе, завершает соединение в локальном процессе или приложении, генерирует новый пакет, а затем передает этот новый пакет из другого интерфейса? Проблема усложняется, если информация, содержащаяся в двух пакетах, примерно одинакова, как в случае с прокси-сервером или каким-либо другим подобным устройством. В этих случаях полезно классифицировать устройство как конечное или узел в определенном контексте, в зависимости от роли, которую оно играет по отношению к другим устройствам в контексте. Например, с точки зрения хоста прокси-сервер действует как устройство сетевой переадресации, поскольку работа прокси-сервера (в некоторой степени) прозрачна для хоста. Однако с точки зрения соседнего узла прокси-серверы являются хостами, поскольку они завершают потоки трафика и (как правило) участвуют в плоскости управления так же, как и хост. Граница (край) Граница - это любое соединение между двумя сетевыми устройствами, через которое пересылаются пакеты. Номинальный случай - соединение точка-точка (point-to-point), соединяющее два маршрутизатора, но это не единственный случай. В теории графов ребро соединяет ровно два узла. В сетевой инженерии существуют понятия мультиплексированных, многоточечных и других типов мультиплексированных каналов. Чаще всего они моделируются как набор соединений point-to-point, особенно при построении набора маршрутов без петель в сети. Однако на сетевых диаграммах мультиплексированные каналы часто изображаются как одна линия с несколькими присоединенными узлами. Достижимый пункт назначения Достижимый пункт назначения может описывать один узел или службу, или набор узлов или служб, доступных через сеть. Номинальным примером достижимого пункта назначения является либо хост, либо набор хостов в подсети, но важно помнить, что этот термин может также описывать службу в некоторых контекстах, таких как конкретный процесс, запущенный на одном устройстве, или множество вариантов службы, доступных на нескольких устройствах. Рисунок 3 иллюстрирует это. В сети, показанной на рисунке 3, достижимые пункты назначения могут включать: Любой из отдельных хостов, например A, D, F, G и H Любой из отдельных узлов, например B, C или E Служба или процесс, работающий на одном хосте, например S2. Служба или процесс, работающий на нескольких хостах, например S1. Набор устройств, подключенных к одному физическому каналу или границе, например F, G и H Этот последний достижимый пункт назначения также представлен как интерфейс на конкретном канале или на границе сети. Следовательно, маршрутизатор E может иметь несколько достижимых пунктов назначения, включая: Интерфейс на линии, соединяющей маршрутизатор E с C Интерфейс на линии, соединяющей маршрутизатор E с B Интерфейс на линии, соединяющей маршрутизатор E с хостами F, G и H Сеть, представляющая достижимость для хостов F, G и H Любое количество внутренних служб, которые могут быть объявлены как отдельные адреса, порты или номера протоколов Любое количество внутренних адресов, присоединенных к виртуальным каналам связи, которые не существуют в физической сети, но могут использоваться для представления внутреннего состояния устройства (не показано на рисунке3) Таким образом, концепция достижимого пункта назначения может означать множество разных вещей в зависимости от контекста. В большинстве сетей достижимый пункт назначения - это либо одиночный хост, одиночный канал (и хосты, подключенные к нему), либо набор каналов (и хосты, прикрепленные к этим каналам), объединенные в один достижимый пункт назначения. Теперь, почитайте материал про топологию сетей.
img
Исследователи кибербезопасности выявили новую уязвимость, которая может повлиять на устройства в миллиардах по всему миру, включая серверы, рабочие станции, настольные компьютеры, ноутбуки, системы Интернета вещей и многое другое, работающие на системах Windows и Linux. Исследователи говорят, что BootHole - это своего рода уязвимость переполнения буфера, способная воздействовать на все версии загрузчика GRUB2. Он ведет себя аналогично тому, как он разобрал содержимое файла конфигурации. Этот процесс по-разному подписывается другими исполняемыми и системными файлами. Следовательно, это создает почву киберпреступникам для разрушения механизма аппаратного доверия на корне. Вследствие переполнения буфера злоумышленники могут выполнять произвольные коды в среде UEFI. Затем они могут запускать вредоносные программы, вносить изменения в ядро операционной системы напрямую, изменять загрузку или выполнять другие вредоносные действия. Данная уязвимость представляет собой большой риск и называется BootHole или CVE-2020-10713. В настоящее время данной уязвимости подвержен загрузчике GRUB2. Если злоумышленникам удастся его использовать, это может позволить им обойти функцию "Безопасной загрузки". Кроме того, атакующие также могут получить незаметный и постоянный доступ к целевым системам. Безопасная загрузка является одной из функций Унифицированного Расширяемого Интерфейса Встроенного ПО (UEFI). Люди используют его для загрузки определенных критически важных периферийных устройств, операционных систем и компонентов, обеспечивая при этом выполнение только криптографически подписанных кодов во время загрузки. Согласно отчету исследователей Eclypsium, данная функция предназначена для предотвращения выполнения не доверенных кодов до загрузки ОС. Для этого он изменяет цепочку загрузки или отключает безопасную загрузку. В Windows злоумышленники могут использовать BootHole, заменив уже установленные загрузчики по умолчанию слабой версией GRUB2, а затем установить вредоносную программу rootkit. Последствия уязвимости BootHole Уязвимость BootHole может вызвать серьезные проблемы из-за того, что она позволяет злоумышленникам выполнять свои вредоносные коды до загрузки ОС. Следовательно, системам безопасности становится трудно обнаруживать вредоносные программы или устранять их. Другая причина, по которой BootHole может легко создавать ошибки в системах, заключается в том, что в среде выполнения UEFI отсутствует возможность случайного размещения адресного пространства (ASLR), предотвращение выполнения данных (DEP) или другие технологии предотвращения использования уязвимостей. Установка обновлений не решает проблему Эксперты Eclypsium недавно связались с производителями компьютеров и поставщиками ОС, чтобы помочь смягчить проблему. Выяснилось, что решение не так просто. Установки исправлений и обновление загрузчиков GRUB2 недостаточно для устранения проблемы. Причина в том, что злоумышленники могут заменить существующий загрузчик устройства на более слабую версию. Эксперты говорят, что для смягчения последствий потребуется вновь развернутые и подписанные загрузчики. Кроме того, скомпрометированные загрузчики должны быть убраны. Корпорация Майкрософт признает эту проблему и сообщает, что она работает над тестированием совместимости и проверкой обновления Windows, которое может устранить эту уязвимость. Кроме того, он рекомендует пользователям обновлять исправления безопасности по мере их доступности в ближайшие недели. Разработчики некоторых дистрибутивов Linux следуя их примеру также выпустили рекомендации, связанные с данной уязвимостью и готовящимися исправлениями.
img
Когда читаете данную статью, браузер подключается к провайдеру (или ISP) а пакеты, отправленные с компьютера, находят путь до сервера, на котором размещен этот веб-сайт. BGP (Border Gateway Protocol, протокол граничного шлюза) решает, по какому пути следует идти пакетам. Если маршрутизатор не работает или слишком нагружен, пакеты проходят по другому маршруту. BGP по умолчанию принимает объявленные маршруты от других соседей BGP. Нет объявления о пути или владельце, что оставляет серьезную проблему безопасности. В этой статье описывается протокол RPKI, как решение для безопасной маршрутизации BGP. Что такое BGP? Протокол BGP – основной протокол, который используется для обмена маршрутами в Интернете. Пакеты передаются по всему миру децентрализованным образом с автоматизированной маршрутизацией. По мере передачи данных с одного маршрутизатора на другой информация перемещается ближе к пункту назначения. Каждый маршрутизатор поддерживает локальную таблицу наилучших путей для каждой группы префиксов IP-адресов. AS (Autonomous System - автономная система) владеет группами префиксов и определяет, как происходит обмен маршрутизацией. Каждая AS имеет уникальный идентификатор (Number), и протокол BGP определяет, как автономные системы обмениваются информацией о маршрутах. Каждый ASN (Autonomous System Number) объявляет префиксы, по которым он может доставлять данные. Например, AS отвечающая за подсеть 1.0.0.0/8, будет передавать этот префикс соседям и другим провайдерам. Недостатки BGP Прием маршрута BGP зависит от проектирования ISP. Сложно принять во внимание все сценарии: ошибки ввода, ошибки автоматизации или злой умысел - это лишь некоторые примеры проблем, которые трудно предотвратить. В конечном счете, суть проблемы заключается в том, что нет никакого видения того, кто должен объявлять маршрут или кто настоящий владелец. Угоны префиксов равной длины Угон префикса равной длины происходит, когда тот, кто не является владельцем, объявляет об этом же префиксе. Например: Исходная AS отправляет данные, предназначенные для 1.0.0.0/8 AS назначения объявляет 1.0.0.0/8 Другая AS также объявляет 1.0.0.0/8 В случае объявления равной длины BGP должен выбрать маршрут. Решение сводится к конфигурации AS. Источник AS замечает небольшое падение трафика. Падение трафика является обычным явлением, которое может произойти по любому числу причин. За счет этого угон BGP остается незамеченным. Угон определенного префикса Захват определенного префикса происходит, когда злонамеренный ASN объявляет более конкретный префикс. Оба префикса добавляются в таблицу маршрутизации BGP, но более конкретный адрес выбирается в качестве наилучшего пути к сети. Например: Источник отправляет данные, предназначенные для 1.0.0.0/8 AS назначения объявляет 1.0.0.0/8 Другая AS объявляет более конкретный 1.2.3.0/24 Поскольку 1.2.3.0/24 лучше соответствует, все данные в диапазоне 1.2.3.0 поступают в нелегитимную сеть. Что такое RPKI? RPKI (Resource Public Key Infrastructure) - уровень безопасности в протоколе BGP, обеспечивающий полное криптографическое доверие владельцу, где последний имеет общедоступный идентификатор. В BGP понятия владельца не существует. Любому разрешается анонсировать лучший маршрут, будь то злонамеренно или случайно. RPKI основан на существующем стандарте PKI - RFC6480. Существует много ссылок на существующие методологии криптографии для безопасной связи. Почему RPKI важен? Инфраструктура открытого ключа ресурсов делает BGP более безопасным и надежным. Из-за особенностей работы BGP, уязвимость интернета является систематической проблемой. С ростом Интернета последствия заметнее. Маршрутизация информации в небольшую сеть создает перегрузку. Вредоносная маршрутизация доставляет конфиденциальную информацию не туда. Ошибки BGP могут привести к мошенничеству и крупномасштабным сбоям. Известны следующие случаи: Amazon - маршрут 53 BGP угнал DNS Amazon для кражи криптовалют. Google - неправильная настройка фильтрации BGP во время обновления маршрутизировал весь трафик в Китай, Россию и Нигерию. Mastercard, Visa и крупные банки - произошла утечка 36 префиксов платежных услуг. YouTube - Попытка заблокировать сайт YouTube в Пакистане в итоге положила его. Какую форму защиты предлагает RPKI? Проблемы BGP возникают по многочисленным причинам: Нет надежного плана обеспечения безопасности Ошибки перераспределения Опечатки Преступное намерение Наиболее распространенным фактором является человеческая ошибка. Криптографическая модель RPKI обеспечивает аутентификацию владельца через открытый ключ и инфраструктуру сертификатов без наличия в них идентифицирующей информации. Сертификаты добавляют уровень сетевой безопасности к префиксам IPv4 и IPv6. Сертификаты RPKI продлеваются каждый год. HTTP использует аналогичное шифрование для защиты веб-страниц. Хотя весь путь не защищен, RPKI проверяет идентичность источника и предоставляет способ подтвердить, что они являются теми, кем они являются. RPKI является шагом в обеспечении безопасности в маршрутизации BGP, где мы знаем происхождение входящей информации и кто владеет каким пространством. Широкое распространение делает его еще более эффективным в предотвращении угонов в целом. Как работает RPKI? RIR (Regional Internet Registry) обеспечивает корневое доверие в модели криптографии RPKI. IANA (Internet Assigned Numbers Authority) является частью ICANN (Internet Corporation for Assigned Names and Numbers), которая владеет адресными пространствами IPv4 и IPv6. IANA распределяет порции IP пространства для RIR. Локальные RIR затем распределяют пространство IP для сетей, которые далее распределяют для сетей меньшего размера. Этот путь создает доверенную цепочку в сертификатах подписи. Регионы RIR делятся на пять географических районов: ROA Заключительной частью цепочки является ROA (Route Origin Authorization - авторизация источника маршрута). ROA представляет собой простой документ с двумя частями информации: Какой маршрут и максимальная длина. AS, объявившая маршрут. Например, если AS65005 объявляет маршрут в диапазоне от 1.0.0.0/8 до 1.0.0.0/12, ROA содержит область и идентификатор AS65005, проверяя, кто является реальным владельцем информации с полным доверием. Каждая ROA специфична для каждого из существующих RIR. Как развертывается RPKI? "P" в RPKI означает, что сертификаты и ROA доступны в публичных (public) хранилищах. Эта информация используется для формирования списков префиксов, которые относятся к конкретному ASN. Подписи сертификатов и срок действия ROA проверяются каждой сетью независимо. Если какой-либо из следующих ошибок завершается неуспешно, ROA игнорируется: Дата начала или дата окончания ROA и привязки сертификатов к корню находятся в прошлом или будущем. Любая из подписей недействительна или отозвана. Все ROA, которые прошли тест сохраняются в списке проверенных. Фильтр генерируется и выгружается на маршрутизаторы на основе проверенного списка кэша. Маршрутизаторы проверяют объявления BGP через фильтр и получает один из трех результатов: Действительное - ROA присутствует. Длина префикса и номер AS совпадают. Недопустимое - присутствует ROA. Длина префикса или номер AS не совпадают. Не найдено или неизвестно - ROA отсутствует. Маршрутизатор действует на основе состояния префикса, сгенерированного фильтром. Подпись префиксов RIR предлагают онлайн-инструменты для подписи префиксов. При этом префикс и длина префикса связываются с AS. После подписания префикса другие пользователи, реализовавшие проверку RPKI, могут проверить префиксы. Подписание сертификата предотвращает захват префиксов (намеренно или непреднамеренно). Подписанные сертификаты являются ядром ROA. RPKI не предлагает проверки пути, и атаки «человек в середине» по-прежнему возможны. Проверка префиксов Реализация проверки зависит от сведений о сети. Общие шаги при настройке сети для проверки префиксов: Установка средств проверки RPKI - программное обеспечение, которое извлекает данные RPKI из всех реестров маршрутизации Интернет (IRR) и проверяет подписи. Настройка проверки на пограничных маршрутизаторах с помощью средства проверки маршрута - маршрутизаторы заполняют кэш проверки комбинациями проверенных префиксов, длин префиксов и исходных ASN. Реализация фильтров BGP для внешних сеансов BGP - добавление политики для всех сеансов BGP (одноранговых, транзитных и клиентов) для отклонения любого префикса, который является недопустимым с точки зрения RPKI. Заключение RPKI предлагает дополнительный уровень в защите BGP маршрутизации. Большинство маршрутизаторов имеют встроенные возможности проверки и развертывания RPKI.
ВЕСЕННИЕ СКИДКИ
40%
50%
60%
До конца акции: 30 дней 24 : 59 : 59