Quelques RFCs
D'autres RFCs
Publicité
RFC 4272 Traducción al español |
 |
 |
 |
 |
 |
 |
Grupo de Trabajo de la Red de S. Murphy
Petición de Comentarios: 4272 Sparta, Inc
Categoría: Informativos Enero 2006
BGP análisis de vulnerabilidades de seguridad
Condición de este memo
Este memorándum proporciona información para la comunidad de Internet. No
No especifica un estándar de Internet de ningún tipo. Distribución de este
Memo es ilimitada.
Aviso de Copyright
Copyright (C) The Internet Society (2006).
Resumen
Border Gateway Protocolo 4 (BGP-4), junto con una multitud de otros
Infraestructura de los protocolos diseñados antes de que el entorno de Internet
Se convirtió en peligroso, fue originalmente diseñado con poca consideración
Para la protección de la información que lleva. No existen
Mecanismos internos a BGP que protegen contra ataques que modificar,
Suprimir, crear o reproducir datos, de las cuales ninguna tiene el potencial de
Perturbar el comportamiento general de la red de rutas.
En este documento se analizan algunas de las cuestiones de seguridad con enrutamiento BGP
La difusión de los datos. Este documento no discutir las cuestiones de seguridad
Con el reenvío de paquetes.
Murphy Informativo [Página 1]
RFC 4272 BGP vulnerabilidades de seguridad Analysis enero 2006
Tabla de contenidos
1. Introducción ................................................. ... 3
1,1. Especificación de Requisitos .............................. 5
2. Ataques ................................................. ........ 6
3. Vulnerabilidades y Riesgos ....................................... 7
3,1. Vulnerabilidades en los mensajes BGP ............................ 8
3.1.1. Mensaje de cabecera ...................................... 9
3.1.2. OPEN ................................................ 9
3.1.3. KEEPALIVE .......................................... 11
3.1.4. NOTIFICACIÓN ....................................... 11
3.1.5. UPDATE ............................................. 11
3.1.5.1. Inviable rutas de longitud, el total de
Largo camino de atributos ..................... 12
3.1.5.2. Suprimida Rutas .......................... 13
3.1.5.3. Atributos camino ........................... 13
3.1.5.4. NLRI ...................................... 16
3,2. Otras vulnerabilidades a través de Protocolos ................... 16
3.2.1. TCP Mensajes ....................................... 16
3.2.1.1. TCP SYN ................................... 16
3.2.1.2. TCP SYN ACK ............................... 17
3.2.1.3. TCP ACK ................................... 17
3.2.1.4. TCP RST / FIN / FIN-ACK ....................... 17
3.2.1.5. DoS y DDos .............................. 18
3.2.2. Apoyo a otros protocolos ......................... 18
3.2.2.1. Manual Stop ............................... 18
3.2.2.2. Abrir colisión Dump ....................... 18
3.2.2.3. Temporizador Eventos .............................. 18
4. Consideraciones de seguridad ........................................ 19
4,1. Riesgo residual ............................................. 19
4,2. Protecciones de Explotación ................................... 19
5. Referencias ................................................. .... 21
5,1. Referencias Normativas ...................................... 21
5,2. Referencias informativas .................................... 21
Murphy Informativo [Página 2]
RFC 4272 BGP vulnerabilidades de seguridad Analysis enero 2006
1. Introducción
La inter-dominio de enrutamiento de protocolo BGP se creó cuando la Internet
Medio ambiente aún no habían llegado a la actualidad, polémico estado.
En consecuencia, el diseño BGP no incluye protecciones contra
Deliberada o accidental de los errores que podrían causar interrupciones de
Enrutamiento de comportamiento.
En este documento se analiza la vulnerabilidad de BGP, sobre la base de la BGP
Especificación [RFC4271]. Los lectores se espera que estén familiarizados con
El BGP RFC y el comportamiento de BGP.
Es evidente que el Internet es vulnerable a los ataques a través de su
Y los protocolos de enrutamiento BGP no es una excepción. Defectuosas, mal, o
Deliberadamente fuentes malicioso puede alterar el comportamiento general de la Internet
Mediante la inyección de falsa información de enrutamiento en el BGP-distribuidos
Enrutamiento de la base de datos (mediante la modificación, de la falsificación, o reproducir paquetes BGP).
Los mismos métodos también se puede utilizar para interrumpir local y global
Red rompiendo el comportamiento distribuido de la comunicación
BGP información entre pares. Las fuentes de información falsa
Ser extraños o cierto BGP compañeros.
Criptográficos de autenticación de las comunicaciones peer-peer no es un
Parte integrante de BGP. Como el protocolo TCP / IP, BGP está sujeto a todas las
TCP / IP de los ataques, por ejemplo, IP spoofing, el período de sesiones el robo, etc Cualquier
Ajeno puede inyectar creíble BGP mensajes en la comunicación
BGP entre pares, y así inyectar falsos o información de enrutamiento
Romper la relación entre pares-peer. Cualquier interrupción en el peer-peer
La comunicación tiene un efecto de onda en el enrutamiento que pueden ser generalizadas.
Por otra parte, fuentes de afuera también pueden interrumpir las comunicaciones entre
BGP compañeros rompiendo su falsa conexión TCP con paquetes.
Outsider fuentes de información falsa BGP puede residir en cualquier parte del
Mundo.
En consecuencia, la especificación actual BGP requiere que un BGP
Aplicación debe apoyar el mecanismo de autenticación se especifica en el
[TCPMD5]. Sin embargo, el requisito de que el apoyo de
Mecanismo de autenticación no puede garantizar que el mecanismo es
Configurado para su uso. El mecanismo de [TCPMD5] se basa en una pre -
Instalado, secreto compartido, que no tiene la capacidad de IPsec
[IPsec] ponerse de acuerdo sobre un secreto compartido dinámicamente. En consecuencia, el
Uso de [TCPMD5] debe ser una decisión deliberada, no un automático
Característica o un defecto.
La actual especificación de BGP también permite que las implementaciones
Aceptaría conexiones de "no configurado pares" ([RFC4271] Sección
8). Sin embargo, la especificación no es clara en cuanto a lo que un
No configurado por pares podría ser, o la manera en que la protección de [TCPMD5]
Murphy Informativo [Página 3]
RFC 4272 BGP vulnerabilidades de seguridad Analysis enero 2006
Se aplican en este caso. Por lo tanto, no es posible incluir una
Análisis de las cuestiones de seguridad de esta función. Cuando un
Especificación que describe esta función de manera más completa es liberado, un
Análisis de la seguridad debe ser parte de esa especificación.
BGP oradores pueden inyectar falsa información de enrutamiento, ya sea
Por hacerse pasar por cualquier otro interés legítimo BGP orador, o por
La distribución no autorizada de información de enrutamiento como propios.
Históricamente, el mal y defectuoso routers han sido responsables
Generalizada de los trastornos en la Internet. La legítima pares BGP
Tienen el contexto y la información para producir creíble, y sin embargo falsos,
Información de enrutamiento, y por lo tanto tienen la oportunidad de causar
Un gran daño. La protección criptográfica de [TCPMD5] y
Operacionales de la protección no puede excluir la información que resulte falsa
Legítimo de los pares. El riesgo de perturbaciones causadas por legítimo
BGP oradores es real y no puede ser ignorada.
Falsa información de enrutamiento puede tener muchos efectos diferentes sobre enrutamiento
Comportamiento. Si la falsa información de enrutamiento elimina la información de un
Particular de la red, la red que pueden llegar a ser inaccesibles para la
Parte de la Internet que acepta la falsa información. Si el
La falsa información de los cambios de ruta a la red, entonces los paquetes
Destinados a la red que puede ser transmitido por un camino sub-óptimo, o
Por un camino que no sigue la política de la espera, o por un camino que
Que no transmitirá el tráfico. En consecuencia, para que el tráfico de red
Podría retrasarse por un camino que es más de lo necesario. El
Red podría convertirse en inaccesible de las zonas donde los falsos
La información se acepta. Tráfico también puede ser transmitido a lo largo de un
Camino que algunos adversario permisos para ver o modificar los datos. Si el
Información falsa que le hace parecer un sistema autónomo
Se origina una red cuando no es así, entonces para que los paquetes de red
No puede ser producto de la parte de Internet que acepta
La falsa información. Un falso anuncio de que un organismo autónomo
Se origina una red de sistemas también pueden fragmentar agregados dirección
Bloques en otras partes de Internet y causa problemas de enrutamiento
Otras redes.
Los daños y perjuicios que pudieran derivarse de estos ataques son:
Hambre: Información de tráfico destinado a un nodo se remite a un
Parte de la red que no puede entregar.
Congestión de la red: hay más tráfico de datos se transmite a través de algunos
Porción de la red que, de otro modo, deben incluir los
Tráfico.
Murphy Informativo [Página 4]
RFC 4272 BGP vulnerabilidades de seguridad Analysis enero 2006
Blackhole: Grandes cantidades de tráfico se dirigen a ser remitido
A través de un router que no puede manejar el aumento en el nivel de
Tráfico y muchas gotas / más / todos los paquetes.
Demora: Los datos sobre el tráfico destinado a un nodo es transmitido a lo largo de un camino
Que es de alguna manera inferior a la vía que, de otro modo tomar.
Bucle: Los datos del tráfico se transmite a lo largo de un camino que los bucles, de manera
Que los datos nunca se entregó.
Escuchar: Los datos del tráfico se transmite a través de algún router o
Red que de otro modo no ver el tráfico, que garantice un
Oportunidad de ver los datos.
Partición: Algunos parte de la red considera que es
Particionado del resto de la red, cuando, en realidad, es
No.
Corte: Algunos parte de la red considera que no tiene ruta a la
Algunas red a la que es, de hecho, conectado.
Churn: La transmisión en la red de cambios a un ritmo rápido,
Resultando en grandes diferencias en los patrones de datos de la entrega (y
Lesivo técnicas de control de la congestión).
Inestabilidad: BGP se vuelve inestable, de tal manera que la convergencia
A nivel mundial el reenvío de estado no se logra.
Sobrecarga: El BGP mensajes se conviertan en una parte importante
El tráfico de la red transmite.
El agotamiento de recursos: los propios mensajes BGP La causa agotamiento
Router crítica de los recursos, como la mesa de espacio.
Dirección-spoofing: Los datos del tráfico se transmite a través de algún router o
Spoofing de red que es la legítima dirección, con lo que permite a una
Ataque de activos que ofrezcan la oportunidad de modificar los datos.
Estas consecuencias pueden recaer exclusivamente en un extremo-o sistema de prefijo
Puede afectar el funcionamiento de la red en su conjunto.
1,1. Especificación de Requisitos
Las palabras clave "DEBE", "NO DEBE", "REQUERIDO", "DEBERÁ", "NO",
"DEBE", "NO DEBE", "recomendada", "MAYO", y "OPCIONAL" en este
Documento se han de interpretar como se describe en el RFC2119 [RFC2119].
Murphy Informativo [Página 5]
RFC 4272 BGP vulnerabilidades de seguridad Analysis enero 2006
2. Ataques
BGP, de por sí, está sujeta a las siguientes ataques. (El
Lista se toma del IAB RFC que se establecen las directrices para la
"Consideraciones de Seguridad" de la sección RFC [SecCons].)
Confidencialidad violaciónes: El enrutamiento de los datos en BGP es
Sin formato en llevado, por lo que se escucha un posible ataque
Contra la confidencialidad de los datos de enrutamiento. (Enrutamiento de datos
La confidencialidad no es un requisito común.)
Replay: BGP no prevé la protección de su repetición
Mensajes.
Mensaje de inserción: BGP no prevé la protección contra
Inserción de los mensajes. Sin embargo, debido a BGP utiliza TCP, cuando el
Conexión en su totalidad, el mensaje de inserción por un extraño
Requeriría número de secuencia exacta predicción (no del todo
Fuera de la cuestión, pero es más difícil con maduras TCP
Implementaciones) o período de sesiones-el robo de los ataques.
Supresión mensaje: BGP no prevé la protección contra
La eliminación de mensajes. Una vez más, este ataque es más difícil
En contra de una aplicación madura TCP, pero no está totalmente fuera de
La cuestión.
Modificación mensaje: BGP no prevé la protección contra
Modificación de los mensajes. Una modificación que se sintácticamente
Correcta y no ha cambiado la longitud de la carga útil que en TCP
General no ser detectables.
El hombre en el medio: BGP no ofrece protección contra el hombre;
En el medio de ataque. Como BGP no realiza entre pares entidad
Autenticación, un hombre-en el medio de ataque es un juego de niños.
Denegación de servicio: Si bien el enrutamiento de datos falsos pueden presentar una denegación
Servicio de ataque a los sistemas finales que están tratando de transmitir
Datos a través de la red y sobre la infraestructura de red propia,
Algunos falsos información puede representar una denegación de servicio en el
Protocolo de enrutamiento BGP. Por ejemplo, un gran número de publicidad
Más rutas específicas (es decir, a más largo prefijos) puede causar tráfico BGP
Y el router para aumentar el tamaño de la tabla, incluso explotar.
El obligatorio a los mecanismos de apoyo de [TCPMD5] contrarrestar mensaje
Inserción, supresión y modificación, el hombre en el medio y la negación
Servicio de los ataques de extraños. El uso de [TCPMD5] no
Protección contra la escucha, pero de enrutamiento de datos
La confidencialidad no es un objetivo de BGP. El mecanismo de hace [TCPMD5]
Murphy Informativo [Página 6]
RFC 4272 BGP vulnerabilidades de seguridad Analysis enero 2006
No protegen contra ataques de repetición, por lo que la única protección contra
Replay es el número de secuencia de procesamiento de TCP. Por lo tanto,
Una repetición ataque podría ser montado en contra de una conexión BGP protegidas
Con [TCPMD5], pero sólo en circunstancias muy cuidadosamente el tiempo. El
Mecanismo de [TCPMD5] no puede proteger contra los falsos enrutamiento
Información que se origina de una información privilegiada.
3. Vulnerabilidades y Riesgos
Los riesgos que surgen de BGP en tres vulnerabilidades:
(1) BGP no tiene ningún mecanismo interno que proporciona una sólida protección de
La integridad, frescura, y los pares autenticidad de la entidad
Mensajes en peer-peer BGP comunicaciones.
(2) que no hay ningún mecanismo se ha especificado en BGP para validar la
Autoridad de un AS para anunciar NLRI información.
(3) mecanismo no se ha especificado en BGP para garantizar la
Autenticidad de los atributos de ruta anunciada por AS.
La primera vulnerabilidad motivación fundamental el apoyo de los mandatos
[TCPMD5] BGP en el pliego de condiciones. Cuando el apoyo de [TCPMD5] es
Empleados, mensaje de integridad y autenticación de la entidad son los pares
. El mecanismo de [TCPMD5] asume que el algoritmo MD5
Es seguro y que el secreto compartido está protegido y ser elegido
Difícil de adivinar.
En la discusión que sigue, se describen las vulnerabilidades en
Términos de la BGP Finitos Estado Máquina eventos. Los sucesos se definen
Y examina en la sección 8 de la [RFC4271]. Los eventos mencionados aquí
Son los siguientes:
[Administrativo de Eventos]
Evento 2: ManualStop
Evento 8: AutomaticStop
[Temporizador Eventos]
Evento 9: ConnectRetryTimer_Expires
Evento 10: HoldTimer_Expires
Evento 11: KeepaliveTimer_Expires
Evento 12: DelayOpenTimer_Expires
Murphy Informativo [Página 7]
RFC 4272 BGP vulnerabilidades de seguridad Analysis enero 2006
Evento 13: IdleHoldTimer_Expires
[TCP de conexión basado Eventos]
Evento 14: TcpConnection_Valid
Evento 16: Tcp_CR_Acked
Evento 17: TcpConnectionConfirmed
Evento 18: TcpConnectionFails
[Mensajes BGP basado Eventos]
Evento 19: BGPOpen
Evento 20: BGPOpen corriendo con DelayOpenTimer
Evento 21: BGPHeaderErr
Evento 22: BGPOpenMsgErr
Evento 23: OpenCollisionDump
Evento 24: NotifMsgVerErr
Evento 25: NotifMsg
Evento 26: KeepAliveMsg
Evento 27: UpdateMsg
Evento 28: UpdateMsgErr
3,1. Vulnerabilidades en los mensajes BGP
Existen cuatro diferentes tipos de mensajes BGP - ABIERTO, KEEPALIVE,
NOTIFICACIÓN, y UPDATE. Esta sección contiene un análisis de la
Vulnerabilidades derivadas de cada mensaje y de la capacidad de
Extraños o BGP compañeros a explotar las vulnerabilidades. En resumen,
Extraños pueden utilizar falsos OPEN, KEEPALIVE, notificación, o UPDATE
Mensajes de perturbar el BGP conexiones peer-peer. Pueden utilizar
UPDATE falsos mensajes de perturbar enrutamiento sin romper el par -
Relación entre pares. Los foráneos también pueden perturbar BGP peer-peer
Conexiones mediante la inserción de los falsos paquetes TCP que perturban el TCP
Relación de transformación. En general, la capacidad de terceros para utilizar
BGP TCP y falsos mensajes es limitado, pero no eliminado, por el TCP
Número de secuencia de procesamiento. El uso de [TCPMD5] puede contrarrestar estas
Murphy Informativo [Página 8]
RFC 4272 BGP vulnerabilidades de seguridad Analysis enero 2006
Forastero ataques. BGP compañeros sí se les permite romper peer -
Conexiones entre pares, en cualquier momento, mediante notificación mensajes. Así,
No hay más riesgo de romperse las conexiones a través de su uso
De OPEN, KEEPALIVE, o UPDATE mensajes. Sin embargo, los compañeros pueden BGP
Perturbar enrutamiento (en la forma inadmisible) mediante la emisión de mensajes UPDATE
Falsos que contienen información de enrutamiento. En particular, los falsos
ATOMIC_AGGREGATE, NEXT_HOP y AS_PATH atributos y falso en NLRI
UPDATE mensajes pueden interrumpir el enrutamiento. El uso de [TCPMD5] no
Contrarrestar estos ataques de BGP compañeros.
Cada mensaje introduce ciertos factores de vulnerabilidad y riesgos, que son
Examinan en las secciones siguientes.
3.1.1. Mensaje de cabecera
Evento 21: BGP Cada mensaje comienza con una cabecera estándar. En todos
Los casos, los errores sintácticos en la cabecera del mensaje hará que el BGP
Orador de cerrar la conexión, en libertad a todos los asociados BGP
Recursos, eliminar todas las rutas aprendidas a través de esa conexión, ejecute su
Proceso de toma de decisiones para decidir sobre nuevas rutas, y el estado a causa
Volver al modo de reposo. También, de manera opcional, una aplicación específica de los pares
Oscilación de amortiguación pueden efectuarse. La oscilación entre pares de amortiguación
Proceso puede afectar a cómo pronto la conexión puede ser reiniciado. Un
Forastero que podría falso mensaje de cabecera de los mensajes con errores podría
Causar perturbaciones en el enrutamiento en una amplia zona.
3.1.2. OPEN
Evento 19: Recepción de un mensaje en los estados OPEN o Active Connect
Provocará que el orador BGP para derrocar al respecto, en libertad a todos
BGP recursos asociados, suprimir todas las rutas asociadas, ejecute su
Proceso de decisión, y la causa del estado para regresar a Inactivo. El
Supresión de las rutas puede provocar un efecto de cascada en la que el enrutamiento
Cambios se propagan a través de otros compañeros. También, si lo desean, un
Aplicación específica de los pares oscilación de amortiguación pueden efectuarse.
La oscilación entre pares amortiguación proceso puede afectar a la forma en la brevedad
Conexión puede ser reiniciado.
En estado OpenConfirm o de fundación, la llegada de un OPEN Mayo
Indica una conexión de colisión se ha producido. Si esta relación es
Que se ha caído, entonces Evento 23 se publicará. (Evento 23, examinó
A continuación, los resultados en el mismo conjunto de acciones perturbadoras como se menciona
Por encima de los estados o Active Connect.)
En OpenSent estado, la llegada de un mensaje OPEN provocará que el BGP
Orador de transición a la OpenConfirm estado. Si un extraño se
Capaz de spoof un mensaje OPEN (que requieren mucho cuidado el momento), entonces
Más tarde la llegada de los legítimos pares OPEN mensaje podría dar lugar
Murphy Informativo [Página 9]
RFC 4272 BGP vulnerabilidades de seguridad Analysis enero 2006
El orador BGP para declarar una conexión colisión. La colisión
Detección procedimiento puede causar la legítima relación que se
Disminuyó.
En consecuencia, la capacidad de una persona ajena a este mensaje de correo electrónico falso puede
Dar lugar a una grave perturbación de enrutamiento en una amplia zona.
Evento 20: Si un OPEN mensaje llega cuando el temporizador es DelayOpen
En funcionamiento cuando la conexión está en estado OpenSent, o OpenConfirm
Establecido, el orador se BGP derrocar al respecto, la liberación
Todos los recursos asociados BGP, suprimir todas las rutas asociadas, ejecute su
Proceso de decisión, y la causa del estado para regresar a Inactivo. El
Supresión de las rutas puede provocar un efecto de cascada en la que el enrutamiento
Cambios se propagan a través de otros compañeros. También, si lo desean, un
Aplicación específica de los pares oscilación de amortiguación pueden efectuarse.
La oscilación entre pares amortiguación proceso puede afectar a la forma en la brevedad
Conexión puede ser reiniciado. Sin embargo, debido a que el temporizador OpenDelay
Nunca debe estar en ejecución en estos estados, este efecto sólo podría
Causada por un error en la aplicación (a la notificación es enviada con
El código de error "Error Finitos Estado Machine"). Sería difícil,
Si no imposible, para inducir a una persona ajena a este Estado Finitos
Máquina de error.
En los estados y Active Connect, este evento hará que la transición a la
OpenConfirm el estado. Como en el Evento 19, si un extraño pudieron
OPEN una parodia, que llegó DelayOpen mientras que el temporizador estaba en funcionamiento,
Luego más tarde llegan OPEN (de la legítima peer), podría ser
Considera una conexión de colisión y los legítimos respecto podría
Se redujo.
En consecuencia, la capacidad de una persona ajena a este mensaje de correo electrónico falso puede
Dar lugar a una grave perturbación de enrutamiento en una amplia zona.
Evento 22: Errores en el OPEN mensaje (por ejemplo, el inaceptable estado Retención,
Facultativo de parámetro incorrecto, no la versión, etc) provocará
El orador BGP para derrocar al respecto, en libertad a todos los asociados
BGP recursos, eliminar todas las rutas asociadas, ejecute su decisión
Proceso, y hacer que el estado de regresar a Inactivo. La supresión de
Rutas pueden causar un efecto de cascada en la que los cambios de itinerario
Propagar a través de otros compañeros. También, de manera opcional, una aplicación -
Oscilación entre pares específicos de amortiguación pueden efectuarse. Los pares
Oscilación amortiguación proceso puede afectar a cómo pronto la conexión puede
Reiniciado. En consecuencia, la capacidad de una persona ajena a esta parodia
Mensaje puede dar lugar a una grave perturbación de enrutamiento en una amplia zona.
Murphy Informativo [Página 10]
RFC 4272 BGP vulnerabilidades de seguridad Analysis enero 2006
3.1.3. KEEPALIVE
Evento 26: Recepción de un mensaje KEEPALIVE, cuando los igualitarios
Conexión es en la conexión, activo, y OpenSent estados,
Causa BGP orador a la transición al estado de reposo y no
Establecer una conexión. También, de manera opcional, una aplicación específica
Oscilación entre pares de amortiguación pueden efectuarse. La oscilación entre pares
Amortiguación proceso puede afectar a cómo pronto la conexión puede ser reiniciado.
La capacidad de una persona ajena a este mensaje de correo electrónico falso puede llevar a un
Perturbación de enrutamiento. Para aprovechar esta vulnerabilidad deliberadamente,
La KEEPALIVE deben ser cuidadosamente el tiempo en la secuencia de mensajes
Intercambiados entre los compañeros, de lo contrario, que no causa daño alguno.
3.1.4. NOTIFICACIÓN
Evento 25: Recepción de un mensaje de notificación en cualquier estado de causa
El orador BGP para derrocar al respecto, en libertad a todos los asociados
BGP recursos, eliminar todas las rutas asociadas, ejecute su decisión
Proceso, y hacer que el estado de regresar a Inactivo. La supresión de
Rutas pueden causar un efecto de cascada en la que los cambios de itinerario
Propagar a través de otros compañeros. También, de manera opcional, en cualquier estado, pero
Establecido, una aplicación específica de los pares oscilación de amortiguación de Mayo
Se han de realizar. La oscilación entre pares amortiguación proceso puede afectar la manera en
Antes de la conexión puede ser reiniciado. En consecuencia, la capacidad de
Una persona ajena a este mensaje de correo electrónico falso puede dar lugar a una grave perturbación de
Enrutamiento en una amplia zona.
Evento 24: Un mensaje de la notificación llevar un código de error de "Versión
Error "se comporta como el mismo evento en el 25, con la excepción de que la
Opcional pares oscilación amortiguación no se realiza en los estados OpenSent
O OpenConfirm, o en los estados de Active Connect o si el temporizador DelayOpen
Está funcionando. Por lo tanto, el daño causado es un poco menos pequeña,
Porque de reiniciar la conexión no se ve afectada.
3.1.5. UPDATE
Evento 8: BGP Un orador podrá elegir opcionalmente automáticamente
Desconectar cualquier conexión BGP si el número total de los prefijos por encima de una
Máximo configurado. En tal caso, un UPDATE pueden llevar una serie de
Prefijos que se traduciría en que se exceda el máximo. El BGP
Orador desconectar la conexión, en libertad a todos los asociados BGP
Recursos, eliminar todas las rutas asociadas, ejecute su proceso de decisión,
Y hacer que el estado de regresar a Inactivo. La supresión de las rutas puede
Causa un efecto de cascada en la que se propagan a través de los cambios de itinerario
Otros compañeros. También, de manera opcional, una aplicación específica de los pares
Oscilación de amortiguación pueden efectuarse. La oscilación entre pares de amortiguación
Murphy Informativo [Página 11]
RFC 4272 BGP vulnerabilidades de seguridad Analysis enero 2006
Proceso puede afectar a cómo pronto la conexión puede ser reiniciado.
En consecuencia, la capacidad de una persona ajena a este mensaje de correo electrónico falso puede
Dar lugar a una grave perturbación de enrutamiento en una amplia zona.
Evento 28: UPDATE Si el mensaje es incorrecto, entonces el orador BGP
Se derrocar al respecto, en libertad a todos los recursos asociados BGP,
Suprimir todas las rutas asociadas, ejecute su proceso de decisión, y la causa
Para volver al estado de reposo. (Aquí, "incorrecto" se refiere a la inadecuada
Suprimida Rutas Longitud, Longitud total de atributos, o atributo Longitud,
Desaparecidos obligatoria conocido atributos, atributos que Banderas
Conflicto con el atributo Códigos Tipo, errores sintácticos en el
ORIGEN, NEXT_HOP o AS_PATH, etc) La supresión de las rutas puede causar
Un efecto de cascada en la que se propagan los cambios de itinerario a través de otros
Compañeros. También, de manera opcional, una aplicación específica de los pares oscilación
Amortiguación pueden efectuarse. La oscilación entre pares amortiguación proceso puede
Cómo afectan a la conexión pronto puede ser reiniciado. En consecuencia, el
Capacidad de una persona ajena a este mensaje de correo electrónico falso podría causar generalizada
Perturbación de enrutamiento. Como BGP orador tiene la autoridad para cerrar una
Conexión cada vez que quiere, este mensaje no da oradores BGP
Oportunidad adicional para causar daños.
Evento 27: Actualización de mensajes que se reciban en cualquier estado excepto
Establecida provocará que el orador BGP para derrocar al respecto,
En libertad a todos los asociados BGP recursos, eliminar todas las rutas asociadas,
Ejecutar su proceso de decisión, y la causa del estado para regresar a Inactivo. El
Supresión de las rutas puede provocar un efecto de cascada en la que el enrutamiento
Cambios se propagan a través de otros compañeros. También, si lo desean, un
Aplicación específica de los pares oscilación de amortiguación pueden efectuarse.
La oscilación entre pares amortiguación proceso puede afectar a la forma en la brevedad
Conexión puede ser reiniciado. En consecuencia, la capacidad de una
Ajena a este mensaje de correo electrónico falso puede dar lugar a una grave perturbación de
Enrutamiento en una amplia zona.
Establecida en el estado, la lleva el mensaje de actualización de enrutamiento
Información. La capacidad de spoof cualquier parte de este mensaje puede conducir
A una perturbación de enrutamiento, si la fuente del mensaje es un
Extraño o de un legítimo BGP orador.
3.1.5.1. Inviable rutas de longitud, la longitud total de camino atributo
Existe una vulnerabilidad derivadas de la capacidad de modificar estas
Campos. Si una longitud es modificado, el mensaje no es probable que analizar
Adecuadamente, lo que resulta en un error, la transmisión de una notificación
Mensaje y la clausura de la conexión (véase el Evento 28, supra). Como
BGP verdadero orador es capaz de cerrar una conexión en cualquier momento, este
Vulnerabilidad representa un riesgo adicional sólo cuando la fuente es
No se configura el BGP pares, es decir, que no presenta ningún riesgo adicional
BGP de oradores.
Murphy Informativo [Página 12]
RFC 4272 BGP vulnerabilidades de seguridad Analysis enero 2006
3.1.5.2. Suprimida Rutas
Un extraño podría causar la eliminación de las actuales rutas legítimas
Por la creación o modificación de este ámbito. Un extraño también podría causar la
Eliminación de las rutas restablecido por reproducir esta retirada
Información de los paquetes anteriores.
Un orador BGP podría "falsamente" retirar factible rutas utilizando este
Campo. Sin embargo, como el BGP orador es autorizada para las rutas
Que se anuncian, se permite retirar cualquier previamente anunciado
Rutas que quiere. Como recibir el orador sólo BGP
Retirar las rutas asociadas con el envío de BGP orador, no hay
BGP oportunidad de un orador a retirar otro BGP del orador
Rutas. Por lo tanto, no existe riesgo adicional de los compañeros a través de BGP
Este campo.
3.1.5.3. Atributos de camino
El camino atributos presentes diferentes factores de vulnerabilidad y riesgos.
O atributo banderas, los códigos de tipo de atributos, atributos longitud
Un BGP entre iguales o un extraño podría modificar la duración o atributo
Tipo de atributo (banderas y códigos tipo) no reflejan el atributo
Valores que siguieron. Si se modificaron las banderas, las banderas y
Tipo de código podría ser incompatible (es decir, un atributo obligatorio
Marcado como parcial), o un atributo opcional puede interpretarse
Como un atributo obligatorio, o viceversa. Si el tipo de código se
Modificados, el valor de atributo puede interpretarse como si se tratara de
El tipo de datos y el valor de otro atributo.
El más probable resultado de la modificación de la longitud de atributo, banderas,
O el tipo de código sería un error de análisis del mensaje UPDATE. A
Parse error podría causar la transmisión de un mensaje NOTIFICACIÓN
Y la clausura de la conexión (véase el Evento 28, supra). Como un verdadero
BGP orador es capaz de cerrar una conexión en cualquier momento, este
Vulnerabilidad representa un riesgo adicional sólo cuando la fuente
Es un extraño, es decir, que no presenta ningún riesgo adicional de un BGP
Pares.
O ORIGEN
Este campo indica si la información fue adquirida de IGP
EEE o de la información. Este campo se utiliza en la toma de enrutamiento
Decisiones, de manera que hay algunos pequeños vulnerabilidad de poder
Afectar a la recepción de enrutamiento BGP del orador decisión modificando
Este campo.
Murphy Informativo [Página 13]
RFC 4272 BGP vulnerabilidades de seguridad Analysis enero 2006
O AS_PATH
Un BGP entre iguales o de afuera podría anunciar un AS_PATH que no fue
Precisos para el asociado NLRI.
Debido a que un BGP pares no podría verificar que un recibidas comienza AS_PATH
AS con el número de sus pares, un malintencionado podría pares BGP
Anunciar un camino que comienza con el AS de BGP cualquier orador, con
Poco impacto en sí mismo. Esto podría afectar la recepción de BGP
Orador del procedimiento de decisión y elección de ruta instalado. El
Pares malicioso podría acortar considerablemente el AS_PATH, que se
Aumentar las posibilidades de que la ruta de ser elegido, tal vez dar la
Malicioso acceso a los pares de tráfico que de otra manera no recibir.
La reducción del AS_PATH también podría dar lugar a bucles de enrutamiento, ya que
No contiene la información necesaria para evitar los bucles.
Es posible que un hablante BGP a ser configurado para aceptar rutas
Con su propio número AS en el camino AS. Tales operativos
Consideraciones se definen como "fuera del alcance" de la BGP
Especificación. Pero debido a AS_PATHs puede legítimamente bucles,
Implementaciones no puede rechazar automáticamente las rutas con bucles.
Cada orador BGP sólo verifica que su propio AS número no
Aparecen en el AS_PATH.
Junto con la capacidad de utilizar cualquier valor para el NEXT_HOP, este
Proporciona un malicioso BGP orador considerable control sobre la
Ruta de tráfico tendrá.
O de origen Rutas
Un caso especial de anunciar un falso se produce cuando el AS_PATH
AS_PATH anuncia una conexión directa a una red específica
Dirección. Un BGP entre iguales o de afuera podría interrumpir el enrutamiento a la
Red (s) que figuran en el campo NLRI falsamente por el anuncio de una
Conexión directa a la red. El NLRI se convertiría
Inaccesibles a la parte de la red que aceptó esta falsa
Ruta, a menos que, en última instancia, como en el túnel se comprometió a AS_PATH
Los paquetes se presentan para este NLRI hacia su verdadera
AS destino por una ruta válida. Pero incluso cuando los paquetes son
Tunneled para el correcto destino AS, la ruta seguida no podrá
Ser óptima, o pueden no seguir la intención política. Además,
Enrutamiento para otras redes en la Internet podría verse afectado si
El falso anuncio fragmentado global bloque de direcciones,
Obligando a los routers de manejar (cuestión ACTUALIZACIONES, almacenar, administrar) la
Múltiples fragmentos en lugar de la única agregado. Falso
Originations para múltiples direcciones puede resultar en routers y
Redes de tránsito a lo largo de la ruta anunciado para convertirse en una avalancha de
Mal dirigidas tráfico.
Murphy Informational [Page 14]
RFC 4272 BGP Security Vulnerabilities Analysis January 2006
o NEXT_HOP
The NEXT_HOP attribute defines the IP address of the border router
that should be used as the next hop when forwarding the NLRI
listed in the UPDATE message. If the recipient is an external
peer, then the recipient and the NEXT_HOP address must share a
subnet. It is clear that an outsider who modified this field
could disrupt the forwarding of traffic between the two ASes.
If the recipient of the message is an external peer of an AS and
the route was learned from another peer AS (this is one of two
forms of "third party" NEXT_HOP), then the BGP speaker advertising
the route has the opportunity to direct the recipient to forward
traffic to a BGP speaker at the NEXT_HOP address. This affords
the opportunity to direct traffic at a router that may not be able
to continue forwarding the traffic. A malicious BGP speaker can
also use this technique to force another AS to carry traffic it
would otherwise not have to carry. In some cases, this could be
to the malicious BGP speaker's benefit, as it could cause traffic
to be carried long-haul by the victim AS to some other peering
point it shared with the victim.
o MULTI_EXIT_DISC
The MULTI_EXIT_DISC attribute is used in UPDATE messages
transmitted between inter-AS BGP peers. While the MULTI_EXIT_DISC
received from an inter-AS peer may be propagated within an AS, it
may not be propagated to other ASes. Consequently, this field is
only used in making routing decisions internal to one AS.
Modifying this field, whether by an outsider or a BGP peer, could
influence routing within an AS to be sub-optimal, but the effect
should be limited in scope.
o LOCAL_PREF
The LOCAL_PREF attribute must be included in all messages with
internal peers, and excluded from messages with external peers.
Consequently, modification of the LOCAL_PREF could effect the
routing process within the AS only. Note that there is no
requirement in the BGP RFC that the LOCAL_PREF be consistent among
the internal BGP speakers of an AS. Because BGP peers are free to
choose the LOCAL_PREF, modification of this field is a
vulnerability with respect to outsiders only.
Murphy Informational [Page 15]
RFC 4272 BGP Security Vulnerabilities Analysis January 2006
o ATOMIC_AGGREGATE
The ATOMIC_AGGREGATE field indicates that an AS somewhere along
the way has aggregated several routes and advertised the aggregate
NLRI without the AS_SET being formed as usual from the ASes in the
aggregated routes' AS_PATHs. BGP speakers receiving a route with
ATOMIC_AGGREGATE are restricted from making the NLRI any more
specific. Removing the ATOMIC_AGGREGATE attribute would remove
the restriction, possibly causing traffic intended for the more
specific NLRI to be routed incorrectly. Adding the
ATOMIC_AGGREGATE attribute, when no aggregation was done, would
have little effect beyond restricting the un-aggregated NLRI from
being made more specific. This vulnerability exists whether the
source is a BGP peer or an outsider.
o AGGREGATOR
This field may be included by a BGP speaker who has computed the
routes represented in the UPDATE message by aggregating other
routes. The field contains the AS number and IP address of the
last aggregator of the route. It is not used in making any
routing decisions, so it does not represent a vulnerability.
3.1.5.4. NLRI
By modifying or forging this field, either an outsider or BGP peer
source could cause disruption of routing to the announced network,
overwhelm a router along the announced route, cause data loss when
the announced route will not forward traffic to the announced
network, route traffic by a sub-optimal route, etc.
3.2. Vulnerabilities through Other Protocols
3.2.1. TCP Messages
BGP runs over TCP, listening on port 179. Therefore, BGP is subject
to attack through attacks on TCP.
3.2.1.1. TCP SYN
SYN flooding: Like other protocols, BGP is subject to the effects on
the TCP implementation of SYN flooding attacks, and must rely on the
implementation's protections against these attacks.
Event 14: If an outsider were able to send a SYN to the BGP speaker
at the appropriate time during connection establishment, then the
legitimate peer's SYN would appear to be a second connection. If the
outsider were able to continue with a sequence of packets resulting
Murphy Informational [Page 16]
RFC 4272 BGP Security Vulnerabilities Analysis January 2006
in a BGP connection (guessing the BGP speaker's choice for sequence
number on the SYN ACK, for example), then the outsider's connection
and the legitimate peer's connection would appear to be a connection
collision. Depending on the outcome of the collision detection
(ie, if the outsider chooses a BGP identifier so as to win the
race), the legitimate peer's true connection could be destroyed. The
use of [TCPMD5] can counter this attack.
3.2.1.2. TCP SYN ACK
Event 16: If an outsider were able to respond to a BGP speaker's SYN
before the legitimate peer, then the legitimate peer's SYN-ACK would
receive an empty ACK reply, causing the legitimate peer to issue a
RST that would break the connection. The BGP speaker would bring
down the connection, release all associated BGP resources, delete all
associated routes, and run its decision process. This attack
requires that the outsider be able to predict the sequence number
used in the SYN. The use of [TCPMD5] can counter this attack.
3.2.1.3. TCP ACK
Event 17: If an outsider were able to spoof an ACK at the
appropriate time during connection establishment, then the BGP
speaker would consider the connection complete, send an OPEN (Event
17), and transition to the OpenSent state. The arrival of the
legitimate peer's ACK would not be delivered to the BGP process, as
it would look like a duplicate packet. Thus, this message does not
present a vulnerability to BGP during connection establishment.
Spoofing an ACK after connection establishment requires knowledge of
the sequence numbers in use, and is, in general, a very difficult
task. The use of [TCPMD5] can counter this attack.
3.2.1.4. TCP RST/FIN/FIN-ACK
Event 18: If an outsider were able to spoof a RST, the BGP speaker
would bring down the connection, release all associated BGP
resources, delete all associated routes, and run its decision
process. If an outsider were able to spoof a FIN, then data could
still be transmitted, but any attempt to receive it would trigger a
notification that the connection is closing. In most cases, this
results in the connection being placed in an Idle state. But if the
connection is in the Connect state or the OpenSent state at the time,
the connection will return to an Active state.
Spoofing a RST in this situation requires an outsider to guess a
sequence number that need only be within the receive window
[Watson04]. This is generally an easier task than guessing the exact
Murphy Informational [Page 17]
RFC 4272 BGP Security Vulnerabilities Analysis January 2006
sequence number required to spoof a FIN. The use of [TCPMD5] can
counter this attack.
3.2.1.5. DoS and DDos
Because the packets directed to TCP port 179 are passed to the BGP
process, which potentially resides on a slower processor in the
router, flooding a router with TCP port 179 packets is an avenue for
DoS attacks against the router. No BGP mechanism can defeat such
attacks; other mechanisms must be employed.
3.2.2. Other Supporting Protocols
3.2.2.1. Manual Stop
Event 2: A manual stop event causes the BGP speaker to bring down
the connection, release all associated BGP resources, delete all
associated routes, and run its decision process. If the mechanism by
which a BGP speaker was informed of a manual stop is not carefully
protected, the BGP connection could be destroyed by an outsider.
Consequently, BGP security is secondarily dependent on the security
of the management and configuration protocols that are used to signal
this event.
3.2.2.2. Open Collision Dump
Event 23: The OpenCollisionDump event may be generated
administratively when a connection collision event is detected and
the connection has been selected to be disconnected. When this event
occurs in any state, the BGP connection is dropped, the BGP resources
are released, the associated routes are deleted, etc. Consequently,
BGP security is secondarily dependent on the security of the
management and configuration protocols that are used to signal this
event.
3.2.2.3. Timer Events
Events 9-13: BGP employs five timers (ConnectRetry, Hold, Keepalive,
MinASOrigination-Interval, and MinRouteAdvertisementInterval) and two
optional timers (DelayOpen and IdleHold). These timers are critical
to BGP operation. For example, if the Hold timer value were changed,
the remote peer might consider the connection unresponsive and bring
the connection down, thus releasing resources, deleting associated
routes, etc. Consequently, BGP security is secondarily dependent on
the security of the operation, management, and configuration
protocols that are used to modify the timers.
Murphy Informational [Page 18]
RFC 4272 BGP Security Vulnerabilities Analysis January 2006
4. Security Considerations
This entire memo is about security, describing an analysis of the
vulnerabilities that exist in BGP.
Use of the mandatory-to-support mechanisms of [TCPMD5] counters the
message insertion, deletion, and modification attacks, as well as
man-in-the-middle attacks by outsiders. If routing data
confidentiality is desired (there is some controversy as to whether
it is a desirable security service), the use of IPsec ESP could
provide that service.
4.1. Residual Risk
As cryptographic-based mechanisms, both [TCPMD5] and IPsec [IPsec]
assume that the cryptographic algorithms are secure, that secrets
used are protected from exposure and are chosen well so as not to be
guessable, that the platforms are securely managed and operated to
prevent break-ins, etc.
These mechanisms do not prevent attacks that arise from a router's
legitimate BGP peers. There are several possible solutions to
prevent a BGP speaker from inserting bogus information in its
advertisements to its peers (ie, from mounting an attack on a
network's origination or AS-PATH):
(1) Origination Protection: sign the originating AS.
(2) Origination and Adjacency Protection: sign the originating AS
and predecessor information ([Smith96])
(3) Origination and Route Protection: sign the originating AS, and
nest signatures of AS_PATHs to the number of consecutive bad
routers you want to prevent from causing damage. ([SBGP00])
(4) Filtering: rely on a registry to verify the AS_PATH and NLRI
originating AS ([RPSL]).
Filtering is in use near some customer attachment points, but is not
effective near the Internet center. The other mechanisms are still
controversial and are not yet in common use.
4.2. Operational Protections
BGP is primarily used as a means to provide reachability information
to Autonomous Systems (AS) and to distribute external reachability
internally within an AS. BGP is the routing protocol used to
Murphy Informational [Page 19]
RFC 4272 BGP Security Vulnerabilities Analysis January 2006
distribute global routing information in the Internet. Therefore,
BGP is used by all major Internet Service Providers (ISP), as well as
many smaller providers and other organizations.
BGP's role in the Internet puts BGP implementations in unique
conditions, and places unique security requirements on BGP. BGP is
operated over interprovider interfaces in which traffic levels push
the state of the art in specialized packet forwarding hardware and
exceed the performance capabilities of hardware implementation of
decryption by many orders of magnitude. The capability of an
attacker using a single workstation with high speed interface to
generate false traffic for denial of service (DoS) far exceeds the
capability of software-based decryption or appropriately-priced
cryptographic hardware to detect the false traffic. Under such
conditions, one means to protect the network elements from DoS
attacks is to use packet-based filtering techniques based on
relatively simple inspections of packets. As a result, for an ISP
carrying large volumes of traffic, the ability to packet filter on
the basis of port numbers is an important protection against DoS
attacks, and a necessary adjunct to cryptographic strength in
encapsulation.
Current practice in ISP operation is to use certain common filtering
techniques to reduce the exposure to attacks from outside the ISP.
To protect Internal BGP (IBGP) sessions, filters are applied at all
borders to an ISP network. This removes all traffic destined for
network elements' internal addresses (typically contained within a
single prefix) and the BGP port number (179). If the BGP port number
is found, packets from within an ISP are not forwarded from an
internal interface to the BGP speaker's address (on which External
BGP (EBGP) sessions are supported), or to a peer's EBGP address.
Appropriate router design can limit the risk of compromise when a BGP
peer fails to provide adequate filtering. The risk can be limited to
the peering session on which filtering is not performed by the peer,
or to the interface or line card on which the peering is supported.
There is substantial motivation, and little effort is required, for
ISPs to maintain such filters.
These operational practices can considerably raise the difficulty for
an outsider to launch a DoS attack against an ISP. Prevented from
injecting sufficient traffic from outside a network to effect a DoS
attack, the attacker would have to undertake more difficult tasks,
such as compromising the ISP network elements or undetected tapping
into physical media.
Murphy Informational [Page 20]
RFC 4272 BGP Security Vulnerabilities Analysis January 2006
5. References
5.1. Normative References
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate
Requirement Levels", RFC 2119, BCP 14, March 1997.
[TCPMD5] Heffernan, A., "Protection of BGP Sessions via the TCP MD5
Signature Option", RFC 2385, August 1998.
[RFC4271] Rekhter, Y., Li, T., and S. Hares, Eds., "A Border Gateway
Protocol 4 (BGP-4)", RFC 4271, January 2006.
5.2. Informative References
[IPsec] Kent, S. and R. Atkinson, "Security Architecture for the
Internet Protocol", RFC 2401, November 1998.
[SBGP00] Kent, S., Lynn, C. and Seo, K., "Secure Border Gateway
Protocol (Secure-BGP)", IEEE Journal on Selected Areas in
Communications, Vol. 18, No. 4, April 2000, pp. 582-592.
[SecCons] Rescorla, E. and B. Korver, "Guidelines for Writing RFC
Text on Security Considerations", BCP 72, RFC 3552, July
2003.
[Smith96] Smith, B. and Garcia-Luna-Aceves, JJ, "Securing the
Border Gateway Routing Protocol", Proc. Global Internet
'96, London, UK, 20-21 November 1996.
[RPSL] Villamizar, C., Alaettinoglu, C., Meyer, D., and S.
Murphy, "Routing Policy System Security", RFC 2725,
December 1999.
[Watson04] Watson, P., "Slipping In The Window: TCP Reset Attacks",
CanSecWest 2004, April 2004.
Author's Address
Sandra Murphy
Sparta, Inc.
7075 Samuel Morse Drive
Columbia, MD 21046
EMail: Sandy@tislabs.com
Murphy Informational [Page 21]
RFC 4272 BGP Security Vulnerabilities Analysis January 2006
Full Copyright Statement
Copyright (C) The Internet Society (2006).
This document is subject to the rights, licenses and restrictions
contained in BCP 78, and except as set forth therein, the authors
retain all their rights.
This document and the information contained herein are provided on an
"AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS
OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY AND THE INTERNET
ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED,
INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE
INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED
WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
Intellectual Property
The IETF takes no position regarding the validity or scope of any
Intellectual Property Rights or other rights that might be claimed to
pertain to the implementation or use of the technology described in
this document or the extent to which any license under such rights
might or might not be available; nor does it represent that it has
made any independent effort to identify any such rights. Information
on the procedures with respect to rights in RFC documents can be
found in BCP 78 and BCP 79.
Copies of IPR disclosures made to the IETF Secretariat and any
assurances of licenses to be made available, or the result of an
attempt made to obtain a general license or permission for the use of
such proprietary rights by implementers or users of this
specification can be obtained from the IETF on-line IPR repository at
http://www.ietf.org/ipr.
The IETF invites any interested party to bring to its attention any
copyrights, patents or patent applications, or other proprietary
rights that may cover technology that may be required to implement
this standard. Please address the information to the IETF at
ietf-ipr@ietf.org.
Acknowledgement
Funding for the RFC Editor function is provided by the IETF
Administrative Support Activity (IASA).
Murphy Informational [Page 22]
Petición de Comentarios: 4272 Sparta, Inc
Categoría: Informativos Enero 2006
BGP análisis de vulnerabilidades de seguridad
Condición de este memo
Este memorándum proporciona información para la comunidad de Internet. No
No especifica un estándar de Internet de ningún tipo. Distribución de este
Memo es ilimitada.
Aviso de Copyright
Copyright (C) The Internet Society (2006).
Resumen
Border Gateway Protocolo 4 (BGP-4), junto con una multitud de otros
Infraestructura de los protocolos diseñados antes de que el entorno de Internet
Se convirtió en peligroso, fue originalmente diseñado con poca consideración
Para la protección de la información que lleva. No existen
Mecanismos internos a BGP que protegen contra ataques que modificar,
Suprimir, crear o reproducir datos, de las cuales ninguna tiene el potencial de
Perturbar el comportamiento general de la red de rutas.
En este documento se analizan algunas de las cuestiones de seguridad con enrutamiento BGP
La difusión de los datos. Este documento no discutir las cuestiones de seguridad
Con el reenvío de paquetes.
Murphy Informativo [Página 1]
RFC 4272 BGP vulnerabilidades de seguridad Analysis enero 2006
Tabla de contenidos
1. Introducción ................................................. ... 3
1,1. Especificación de Requisitos .............................. 5
2. Ataques ................................................. ........ 6
3. Vulnerabilidades y Riesgos ....................................... 7
3,1. Vulnerabilidades en los mensajes BGP ............................ 8
3.1.1. Mensaje de cabecera ...................................... 9
3.1.2. OPEN ................................................ 9
3.1.3. KEEPALIVE .......................................... 11
3.1.4. NOTIFICACIÓN ....................................... 11
3.1.5. UPDATE ............................................. 11
3.1.5.1. Inviable rutas de longitud, el total de
Largo camino de atributos ..................... 12
3.1.5.2. Suprimida Rutas .......................... 13
3.1.5.3. Atributos camino ........................... 13
3.1.5.4. NLRI ...................................... 16
3,2. Otras vulnerabilidades a través de Protocolos ................... 16
3.2.1. TCP Mensajes ....................................... 16
3.2.1.1. TCP SYN ................................... 16
3.2.1.2. TCP SYN ACK ............................... 17
3.2.1.3. TCP ACK ................................... 17
3.2.1.4. TCP RST / FIN / FIN-ACK ....................... 17
3.2.1.5. DoS y DDos .............................. 18
3.2.2. Apoyo a otros protocolos ......................... 18
3.2.2.1. Manual Stop ............................... 18
3.2.2.2. Abrir colisión Dump ....................... 18
3.2.2.3. Temporizador Eventos .............................. 18
4. Consideraciones de seguridad ........................................ 19
4,1. Riesgo residual ............................................. 19
4,2. Protecciones de Explotación ................................... 19
5. Referencias ................................................. .... 21
5,1. Referencias Normativas ...................................... 21
5,2. Referencias informativas .................................... 21
Murphy Informativo [Página 2]
RFC 4272 BGP vulnerabilidades de seguridad Analysis enero 2006
1. Introducción
La inter-dominio de enrutamiento de protocolo BGP se creó cuando la Internet
Medio ambiente aún no habían llegado a la actualidad, polémico estado.
En consecuencia, el diseño BGP no incluye protecciones contra
Deliberada o accidental de los errores que podrían causar interrupciones de
Enrutamiento de comportamiento.
En este documento se analiza la vulnerabilidad de BGP, sobre la base de la BGP
Especificación [RFC4271]. Los lectores se espera que estén familiarizados con
El BGP RFC y el comportamiento de BGP.
Es evidente que el Internet es vulnerable a los ataques a través de su
Y los protocolos de enrutamiento BGP no es una excepción. Defectuosas, mal, o
Deliberadamente fuentes malicioso puede alterar el comportamiento general de la Internet
Mediante la inyección de falsa información de enrutamiento en el BGP-distribuidos
Enrutamiento de la base de datos (mediante la modificación, de la falsificación, o reproducir paquetes BGP).
Los mismos métodos también se puede utilizar para interrumpir local y global
Red rompiendo el comportamiento distribuido de la comunicación
BGP información entre pares. Las fuentes de información falsa
Ser extraños o cierto BGP compañeros.
Criptográficos de autenticación de las comunicaciones peer-peer no es un
Parte integrante de BGP. Como el protocolo TCP / IP, BGP está sujeto a todas las
TCP / IP de los ataques, por ejemplo, IP spoofing, el período de sesiones el robo, etc Cualquier
Ajeno puede inyectar creíble BGP mensajes en la comunicación
BGP entre pares, y así inyectar falsos o información de enrutamiento
Romper la relación entre pares-peer. Cualquier interrupción en el peer-peer
La comunicación tiene un efecto de onda en el enrutamiento que pueden ser generalizadas.
Por otra parte, fuentes de afuera también pueden interrumpir las comunicaciones entre
BGP compañeros rompiendo su falsa conexión TCP con paquetes.
Outsider fuentes de información falsa BGP puede residir en cualquier parte del
Mundo.
En consecuencia, la especificación actual BGP requiere que un BGP
Aplicación debe apoyar el mecanismo de autenticación se especifica en el
[TCPMD5]. Sin embargo, el requisito de que el apoyo de
Mecanismo de autenticación no puede garantizar que el mecanismo es
Configurado para su uso. El mecanismo de [TCPMD5] se basa en una pre -
Instalado, secreto compartido, que no tiene la capacidad de IPsec
[IPsec] ponerse de acuerdo sobre un secreto compartido dinámicamente. En consecuencia, el
Uso de [TCPMD5] debe ser una decisión deliberada, no un automático
Característica o un defecto.
La actual especificación de BGP también permite que las implementaciones
Aceptaría conexiones de "no configurado pares" ([RFC4271] Sección
8). Sin embargo, la especificación no es clara en cuanto a lo que un
No configurado por pares podría ser, o la manera en que la protección de [TCPMD5]
Murphy Informativo [Página 3]
RFC 4272 BGP vulnerabilidades de seguridad Analysis enero 2006
Se aplican en este caso. Por lo tanto, no es posible incluir una
Análisis de las cuestiones de seguridad de esta función. Cuando un
Especificación que describe esta función de manera más completa es liberado, un
Análisis de la seguridad debe ser parte de esa especificación.
BGP oradores pueden inyectar falsa información de enrutamiento, ya sea
Por hacerse pasar por cualquier otro interés legítimo BGP orador, o por
La distribución no autorizada de información de enrutamiento como propios.
Históricamente, el mal y defectuoso routers han sido responsables
Generalizada de los trastornos en la Internet. La legítima pares BGP
Tienen el contexto y la información para producir creíble, y sin embargo falsos,
Información de enrutamiento, y por lo tanto tienen la oportunidad de causar
Un gran daño. La protección criptográfica de [TCPMD5] y
Operacionales de la protección no puede excluir la información que resulte falsa
Legítimo de los pares. El riesgo de perturbaciones causadas por legítimo
BGP oradores es real y no puede ser ignorada.
Falsa información de enrutamiento puede tener muchos efectos diferentes sobre enrutamiento
Comportamiento. Si la falsa información de enrutamiento elimina la información de un
Particular de la red, la red que pueden llegar a ser inaccesibles para la
Parte de la Internet que acepta la falsa información. Si el
La falsa información de los cambios de ruta a la red, entonces los paquetes
Destinados a la red que puede ser transmitido por un camino sub-óptimo, o
Por un camino que no sigue la política de la espera, o por un camino que
Que no transmitirá el tráfico. En consecuencia, para que el tráfico de red
Podría retrasarse por un camino que es más de lo necesario. El
Red podría convertirse en inaccesible de las zonas donde los falsos
La información se acepta. Tráfico también puede ser transmitido a lo largo de un
Camino que algunos adversario permisos para ver o modificar los datos. Si el
Información falsa que le hace parecer un sistema autónomo
Se origina una red cuando no es así, entonces para que los paquetes de red
No puede ser producto de la parte de Internet que acepta
La falsa información. Un falso anuncio de que un organismo autónomo
Se origina una red de sistemas también pueden fragmentar agregados dirección
Bloques en otras partes de Internet y causa problemas de enrutamiento
Otras redes.
Los daños y perjuicios que pudieran derivarse de estos ataques son:
Hambre: Información de tráfico destinado a un nodo se remite a un
Parte de la red que no puede entregar.
Congestión de la red: hay más tráfico de datos se transmite a través de algunos
Porción de la red que, de otro modo, deben incluir los
Tráfico.
Murphy Informativo [Página 4]
RFC 4272 BGP vulnerabilidades de seguridad Analysis enero 2006
Blackhole: Grandes cantidades de tráfico se dirigen a ser remitido
A través de un router que no puede manejar el aumento en el nivel de
Tráfico y muchas gotas / más / todos los paquetes.
Demora: Los datos sobre el tráfico destinado a un nodo es transmitido a lo largo de un camino
Que es de alguna manera inferior a la vía que, de otro modo tomar.
Bucle: Los datos del tráfico se transmite a lo largo de un camino que los bucles, de manera
Que los datos nunca se entregó.
Escuchar: Los datos del tráfico se transmite a través de algún router o
Red que de otro modo no ver el tráfico, que garantice un
Oportunidad de ver los datos.
Partición: Algunos parte de la red considera que es
Particionado del resto de la red, cuando, en realidad, es
No.
Corte: Algunos parte de la red considera que no tiene ruta a la
Algunas red a la que es, de hecho, conectado.
Churn: La transmisión en la red de cambios a un ritmo rápido,
Resultando en grandes diferencias en los patrones de datos de la entrega (y
Lesivo técnicas de control de la congestión).
Inestabilidad: BGP se vuelve inestable, de tal manera que la convergencia
A nivel mundial el reenvío de estado no se logra.
Sobrecarga: El BGP mensajes se conviertan en una parte importante
El tráfico de la red transmite.
El agotamiento de recursos: los propios mensajes BGP La causa agotamiento
Router crítica de los recursos, como la mesa de espacio.
Dirección-spoofing: Los datos del tráfico se transmite a través de algún router o
Spoofing de red que es la legítima dirección, con lo que permite a una
Ataque de activos que ofrezcan la oportunidad de modificar los datos.
Estas consecuencias pueden recaer exclusivamente en un extremo-o sistema de prefijo
Puede afectar el funcionamiento de la red en su conjunto.
1,1. Especificación de Requisitos
Las palabras clave "DEBE", "NO DEBE", "REQUERIDO", "DEBERÁ", "NO",
"DEBE", "NO DEBE", "recomendada", "MAYO", y "OPCIONAL" en este
Documento se han de interpretar como se describe en el RFC2119 [RFC2119].
Murphy Informativo [Página 5]
RFC 4272 BGP vulnerabilidades de seguridad Analysis enero 2006
2. Ataques
BGP, de por sí, está sujeta a las siguientes ataques. (El
Lista se toma del IAB RFC que se establecen las directrices para la
"Consideraciones de Seguridad" de la sección RFC [SecCons].)
Confidencialidad violaciónes: El enrutamiento de los datos en BGP es
Sin formato en llevado, por lo que se escucha un posible ataque
Contra la confidencialidad de los datos de enrutamiento. (Enrutamiento de datos
La confidencialidad no es un requisito común.)
Replay: BGP no prevé la protección de su repetición
Mensajes.
Mensaje de inserción: BGP no prevé la protección contra
Inserción de los mensajes. Sin embargo, debido a BGP utiliza TCP, cuando el
Conexión en su totalidad, el mensaje de inserción por un extraño
Requeriría número de secuencia exacta predicción (no del todo
Fuera de la cuestión, pero es más difícil con maduras TCP
Implementaciones) o período de sesiones-el robo de los ataques.
Supresión mensaje: BGP no prevé la protección contra
La eliminación de mensajes. Una vez más, este ataque es más difícil
En contra de una aplicación madura TCP, pero no está totalmente fuera de
La cuestión.
Modificación mensaje: BGP no prevé la protección contra
Modificación de los mensajes. Una modificación que se sintácticamente
Correcta y no ha cambiado la longitud de la carga útil que en TCP
General no ser detectables.
El hombre en el medio: BGP no ofrece protección contra el hombre;
En el medio de ataque. Como BGP no realiza entre pares entidad
Autenticación, un hombre-en el medio de ataque es un juego de niños.
Denegación de servicio: Si bien el enrutamiento de datos falsos pueden presentar una denegación
Servicio de ataque a los sistemas finales que están tratando de transmitir
Datos a través de la red y sobre la infraestructura de red propia,
Algunos falsos información puede representar una denegación de servicio en el
Protocolo de enrutamiento BGP. Por ejemplo, un gran número de publicidad
Más rutas específicas (es decir, a más largo prefijos) puede causar tráfico BGP
Y el router para aumentar el tamaño de la tabla, incluso explotar.
El obligatorio a los mecanismos de apoyo de [TCPMD5] contrarrestar mensaje
Inserción, supresión y modificación, el hombre en el medio y la negación
Servicio de los ataques de extraños. El uso de [TCPMD5] no
Protección contra la escucha, pero de enrutamiento de datos
La confidencialidad no es un objetivo de BGP. El mecanismo de hace [TCPMD5]
Murphy Informativo [Página 6]
RFC 4272 BGP vulnerabilidades de seguridad Analysis enero 2006
No protegen contra ataques de repetición, por lo que la única protección contra
Replay es el número de secuencia de procesamiento de TCP. Por lo tanto,
Una repetición ataque podría ser montado en contra de una conexión BGP protegidas
Con [TCPMD5], pero sólo en circunstancias muy cuidadosamente el tiempo. El
Mecanismo de [TCPMD5] no puede proteger contra los falsos enrutamiento
Información que se origina de una información privilegiada.
3. Vulnerabilidades y Riesgos
Los riesgos que surgen de BGP en tres vulnerabilidades:
(1) BGP no tiene ningún mecanismo interno que proporciona una sólida protección de
La integridad, frescura, y los pares autenticidad de la entidad
Mensajes en peer-peer BGP comunicaciones.
(2) que no hay ningún mecanismo se ha especificado en BGP para validar la
Autoridad de un AS para anunciar NLRI información.
(3) mecanismo no se ha especificado en BGP para garantizar la
Autenticidad de los atributos de ruta anunciada por AS.
La primera vulnerabilidad motivación fundamental el apoyo de los mandatos
[TCPMD5] BGP en el pliego de condiciones. Cuando el apoyo de [TCPMD5] es
Empleados, mensaje de integridad y autenticación de la entidad son los pares
. El mecanismo de [TCPMD5] asume que el algoritmo MD5
Es seguro y que el secreto compartido está protegido y ser elegido
Difícil de adivinar.
En la discusión que sigue, se describen las vulnerabilidades en
Términos de la BGP Finitos Estado Máquina eventos. Los sucesos se definen
Y examina en la sección 8 de la [RFC4271]. Los eventos mencionados aquí
Son los siguientes:
[Administrativo de Eventos]
Evento 2: ManualStop
Evento 8: AutomaticStop
[Temporizador Eventos]
Evento 9: ConnectRetryTimer_Expires
Evento 10: HoldTimer_Expires
Evento 11: KeepaliveTimer_Expires
Evento 12: DelayOpenTimer_Expires
Murphy Informativo [Página 7]
RFC 4272 BGP vulnerabilidades de seguridad Analysis enero 2006
Evento 13: IdleHoldTimer_Expires
[TCP de conexión basado Eventos]
Evento 14: TcpConnection_Valid
Evento 16: Tcp_CR_Acked
Evento 17: TcpConnectionConfirmed
Evento 18: TcpConnectionFails
[Mensajes BGP basado Eventos]
Evento 19: BGPOpen
Evento 20: BGPOpen corriendo con DelayOpenTimer
Evento 21: BGPHeaderErr
Evento 22: BGPOpenMsgErr
Evento 23: OpenCollisionDump
Evento 24: NotifMsgVerErr
Evento 25: NotifMsg
Evento 26: KeepAliveMsg
Evento 27: UpdateMsg
Evento 28: UpdateMsgErr
3,1. Vulnerabilidades en los mensajes BGP
Existen cuatro diferentes tipos de mensajes BGP - ABIERTO, KEEPALIVE,
NOTIFICACIÓN, y UPDATE. Esta sección contiene un análisis de la
Vulnerabilidades derivadas de cada mensaje y de la capacidad de
Extraños o BGP compañeros a explotar las vulnerabilidades. En resumen,
Extraños pueden utilizar falsos OPEN, KEEPALIVE, notificación, o UPDATE
Mensajes de perturbar el BGP conexiones peer-peer. Pueden utilizar
UPDATE falsos mensajes de perturbar enrutamiento sin romper el par -
Relación entre pares. Los foráneos también pueden perturbar BGP peer-peer
Conexiones mediante la inserción de los falsos paquetes TCP que perturban el TCP
Relación de transformación. En general, la capacidad de terceros para utilizar
BGP TCP y falsos mensajes es limitado, pero no eliminado, por el TCP
Número de secuencia de procesamiento. El uso de [TCPMD5] puede contrarrestar estas
Murphy Informativo [Página 8]
RFC 4272 BGP vulnerabilidades de seguridad Analysis enero 2006
Forastero ataques. BGP compañeros sí se les permite romper peer -
Conexiones entre pares, en cualquier momento, mediante notificación mensajes. Así,
No hay más riesgo de romperse las conexiones a través de su uso
De OPEN, KEEPALIVE, o UPDATE mensajes. Sin embargo, los compañeros pueden BGP
Perturbar enrutamiento (en la forma inadmisible) mediante la emisión de mensajes UPDATE
Falsos que contienen información de enrutamiento. En particular, los falsos
ATOMIC_AGGREGATE, NEXT_HOP y AS_PATH atributos y falso en NLRI
UPDATE mensajes pueden interrumpir el enrutamiento. El uso de [TCPMD5] no
Contrarrestar estos ataques de BGP compañeros.
Cada mensaje introduce ciertos factores de vulnerabilidad y riesgos, que son
Examinan en las secciones siguientes.
3.1.1. Mensaje de cabecera
Evento 21: BGP Cada mensaje comienza con una cabecera estándar. En todos
Los casos, los errores sintácticos en la cabecera del mensaje hará que el BGP
Orador de cerrar la conexión, en libertad a todos los asociados BGP
Recursos, eliminar todas las rutas aprendidas a través de esa conexión, ejecute su
Proceso de toma de decisiones para decidir sobre nuevas rutas, y el estado a causa
Volver al modo de reposo. También, de manera opcional, una aplicación específica de los pares
Oscilación de amortiguación pueden efectuarse. La oscilación entre pares de amortiguación
Proceso puede afectar a cómo pronto la conexión puede ser reiniciado. Un
Forastero que podría falso mensaje de cabecera de los mensajes con errores podría
Causar perturbaciones en el enrutamiento en una amplia zona.
3.1.2. OPEN
Evento 19: Recepción de un mensaje en los estados OPEN o Active Connect
Provocará que el orador BGP para derrocar al respecto, en libertad a todos
BGP recursos asociados, suprimir todas las rutas asociadas, ejecute su
Proceso de decisión, y la causa del estado para regresar a Inactivo. El
Supresión de las rutas puede provocar un efecto de cascada en la que el enrutamiento
Cambios se propagan a través de otros compañeros. También, si lo desean, un
Aplicación específica de los pares oscilación de amortiguación pueden efectuarse.
La oscilación entre pares amortiguación proceso puede afectar a la forma en la brevedad
Conexión puede ser reiniciado.
En estado OpenConfirm o de fundación, la llegada de un OPEN Mayo
Indica una conexión de colisión se ha producido. Si esta relación es
Que se ha caído, entonces Evento 23 se publicará. (Evento 23, examinó
A continuación, los resultados en el mismo conjunto de acciones perturbadoras como se menciona
Por encima de los estados o Active Connect.)
En OpenSent estado, la llegada de un mensaje OPEN provocará que el BGP
Orador de transición a la OpenConfirm estado. Si un extraño se
Capaz de spoof un mensaje OPEN (que requieren mucho cuidado el momento), entonces
Más tarde la llegada de los legítimos pares OPEN mensaje podría dar lugar
Murphy Informativo [Página 9]
RFC 4272 BGP vulnerabilidades de seguridad Analysis enero 2006
El orador BGP para declarar una conexión colisión. La colisión
Detección procedimiento puede causar la legítima relación que se
Disminuyó.
En consecuencia, la capacidad de una persona ajena a este mensaje de correo electrónico falso puede
Dar lugar a una grave perturbación de enrutamiento en una amplia zona.
Evento 20: Si un OPEN mensaje llega cuando el temporizador es DelayOpen
En funcionamiento cuando la conexión está en estado OpenSent, o OpenConfirm
Establecido, el orador se BGP derrocar al respecto, la liberación
Todos los recursos asociados BGP, suprimir todas las rutas asociadas, ejecute su
Proceso de decisión, y la causa del estado para regresar a Inactivo. El
Supresión de las rutas puede provocar un efecto de cascada en la que el enrutamiento
Cambios se propagan a través de otros compañeros. También, si lo desean, un
Aplicación específica de los pares oscilación de amortiguación pueden efectuarse.
La oscilación entre pares amortiguación proceso puede afectar a la forma en la brevedad
Conexión puede ser reiniciado. Sin embargo, debido a que el temporizador OpenDelay
Nunca debe estar en ejecución en estos estados, este efecto sólo podría
Causada por un error en la aplicación (a la notificación es enviada con
El código de error "Error Finitos Estado Machine"). Sería difícil,
Si no imposible, para inducir a una persona ajena a este Estado Finitos
Máquina de error.
En los estados y Active Connect, este evento hará que la transición a la
OpenConfirm el estado. Como en el Evento 19, si un extraño pudieron
OPEN una parodia, que llegó DelayOpen mientras que el temporizador estaba en funcionamiento,
Luego más tarde llegan OPEN (de la legítima peer), podría ser
Considera una conexión de colisión y los legítimos respecto podría
Se redujo.
En consecuencia, la capacidad de una persona ajena a este mensaje de correo electrónico falso puede
Dar lugar a una grave perturbación de enrutamiento en una amplia zona.
Evento 22: Errores en el OPEN mensaje (por ejemplo, el inaceptable estado Retención,
Facultativo de parámetro incorrecto, no la versión, etc) provocará
El orador BGP para derrocar al respecto, en libertad a todos los asociados
BGP recursos, eliminar todas las rutas asociadas, ejecute su decisión
Proceso, y hacer que el estado de regresar a Inactivo. La supresión de
Rutas pueden causar un efecto de cascada en la que los cambios de itinerario
Propagar a través de otros compañeros. También, de manera opcional, una aplicación -
Oscilación entre pares específicos de amortiguación pueden efectuarse. Los pares
Oscilación amortiguación proceso puede afectar a cómo pronto la conexión puede
Reiniciado. En consecuencia, la capacidad de una persona ajena a esta parodia
Mensaje puede dar lugar a una grave perturbación de enrutamiento en una amplia zona.
Murphy Informativo [Página 10]
RFC 4272 BGP vulnerabilidades de seguridad Analysis enero 2006
3.1.3. KEEPALIVE
Evento 26: Recepción de un mensaje KEEPALIVE, cuando los igualitarios
Conexión es en la conexión, activo, y OpenSent estados,
Causa BGP orador a la transición al estado de reposo y no
Establecer una conexión. También, de manera opcional, una aplicación específica
Oscilación entre pares de amortiguación pueden efectuarse. La oscilación entre pares
Amortiguación proceso puede afectar a cómo pronto la conexión puede ser reiniciado.
La capacidad de una persona ajena a este mensaje de correo electrónico falso puede llevar a un
Perturbación de enrutamiento. Para aprovechar esta vulnerabilidad deliberadamente,
La KEEPALIVE deben ser cuidadosamente el tiempo en la secuencia de mensajes
Intercambiados entre los compañeros, de lo contrario, que no causa daño alguno.
3.1.4. NOTIFICACIÓN
Evento 25: Recepción de un mensaje de notificación en cualquier estado de causa
El orador BGP para derrocar al respecto, en libertad a todos los asociados
BGP recursos, eliminar todas las rutas asociadas, ejecute su decisión
Proceso, y hacer que el estado de regresar a Inactivo. La supresión de
Rutas pueden causar un efecto de cascada en la que los cambios de itinerario
Propagar a través de otros compañeros. También, de manera opcional, en cualquier estado, pero
Establecido, una aplicación específica de los pares oscilación de amortiguación de Mayo
Se han de realizar. La oscilación entre pares amortiguación proceso puede afectar la manera en
Antes de la conexión puede ser reiniciado. En consecuencia, la capacidad de
Una persona ajena a este mensaje de correo electrónico falso puede dar lugar a una grave perturbación de
Enrutamiento en una amplia zona.
Evento 24: Un mensaje de la notificación llevar un código de error de "Versión
Error "se comporta como el mismo evento en el 25, con la excepción de que la
Opcional pares oscilación amortiguación no se realiza en los estados OpenSent
O OpenConfirm, o en los estados de Active Connect o si el temporizador DelayOpen
Está funcionando. Por lo tanto, el daño causado es un poco menos pequeña,
Porque de reiniciar la conexión no se ve afectada.
3.1.5. UPDATE
Evento 8: BGP Un orador podrá elegir opcionalmente automáticamente
Desconectar cualquier conexión BGP si el número total de los prefijos por encima de una
Máximo configurado. En tal caso, un UPDATE pueden llevar una serie de
Prefijos que se traduciría en que se exceda el máximo. El BGP
Orador desconectar la conexión, en libertad a todos los asociados BGP
Recursos, eliminar todas las rutas asociadas, ejecute su proceso de decisión,
Y hacer que el estado de regresar a Inactivo. La supresión de las rutas puede
Causa un efecto de cascada en la que se propagan a través de los cambios de itinerario
Otros compañeros. También, de manera opcional, una aplicación específica de los pares
Oscilación de amortiguación pueden efectuarse. La oscilación entre pares de amortiguación
Murphy Informativo [Página 11]
RFC 4272 BGP vulnerabilidades de seguridad Analysis enero 2006
Proceso puede afectar a cómo pronto la conexión puede ser reiniciado.
En consecuencia, la capacidad de una persona ajena a este mensaje de correo electrónico falso puede
Dar lugar a una grave perturbación de enrutamiento en una amplia zona.
Evento 28: UPDATE Si el mensaje es incorrecto, entonces el orador BGP
Se derrocar al respecto, en libertad a todos los recursos asociados BGP,
Suprimir todas las rutas asociadas, ejecute su proceso de decisión, y la causa
Para volver al estado de reposo. (Aquí, "incorrecto" se refiere a la inadecuada
Suprimida Rutas Longitud, Longitud total de atributos, o atributo Longitud,
Desaparecidos obligatoria conocido atributos, atributos que Banderas
Conflicto con el atributo Códigos Tipo, errores sintácticos en el
ORIGEN, NEXT_HOP o AS_PATH, etc) La supresión de las rutas puede causar
Un efecto de cascada en la que se propagan los cambios de itinerario a través de otros
Compañeros. También, de manera opcional, una aplicación específica de los pares oscilación
Amortiguación pueden efectuarse. La oscilación entre pares amortiguación proceso puede
Cómo afectan a la conexión pronto puede ser reiniciado. En consecuencia, el
Capacidad de una persona ajena a este mensaje de correo electrónico falso podría causar generalizada
Perturbación de enrutamiento. Como BGP orador tiene la autoridad para cerrar una
Conexión cada vez que quiere, este mensaje no da oradores BGP
Oportunidad adicional para causar daños.
Evento 27: Actualización de mensajes que se reciban en cualquier estado excepto
Establecida provocará que el orador BGP para derrocar al respecto,
En libertad a todos los asociados BGP recursos, eliminar todas las rutas asociadas,
Ejecutar su proceso de decisión, y la causa del estado para regresar a Inactivo. El
Supresión de las rutas puede provocar un efecto de cascada en la que el enrutamiento
Cambios se propagan a través de otros compañeros. También, si lo desean, un
Aplicación específica de los pares oscilación de amortiguación pueden efectuarse.
La oscilación entre pares amortiguación proceso puede afectar a la forma en la brevedad
Conexión puede ser reiniciado. En consecuencia, la capacidad de una
Ajena a este mensaje de correo electrónico falso puede dar lugar a una grave perturbación de
Enrutamiento en una amplia zona.
Establecida en el estado, la lleva el mensaje de actualización de enrutamiento
Información. La capacidad de spoof cualquier parte de este mensaje puede conducir
A una perturbación de enrutamiento, si la fuente del mensaje es un
Extraño o de un legítimo BGP orador.
3.1.5.1. Inviable rutas de longitud, la longitud total de camino atributo
Existe una vulnerabilidad derivadas de la capacidad de modificar estas
Campos. Si una longitud es modificado, el mensaje no es probable que analizar
Adecuadamente, lo que resulta en un error, la transmisión de una notificación
Mensaje y la clausura de la conexión (véase el Evento 28, supra). Como
BGP verdadero orador es capaz de cerrar una conexión en cualquier momento, este
Vulnerabilidad representa un riesgo adicional sólo cuando la fuente es
No se configura el BGP pares, es decir, que no presenta ningún riesgo adicional
BGP de oradores.
Murphy Informativo [Página 12]
RFC 4272 BGP vulnerabilidades de seguridad Analysis enero 2006
3.1.5.2. Suprimida Rutas
Un extraño podría causar la eliminación de las actuales rutas legítimas
Por la creación o modificación de este ámbito. Un extraño también podría causar la
Eliminación de las rutas restablecido por reproducir esta retirada
Información de los paquetes anteriores.
Un orador BGP podría "falsamente" retirar factible rutas utilizando este
Campo. Sin embargo, como el BGP orador es autorizada para las rutas
Que se anuncian, se permite retirar cualquier previamente anunciado
Rutas que quiere. Como recibir el orador sólo BGP
Retirar las rutas asociadas con el envío de BGP orador, no hay
BGP oportunidad de un orador a retirar otro BGP del orador
Rutas. Por lo tanto, no existe riesgo adicional de los compañeros a través de BGP
Este campo.
3.1.5.3. Atributos de camino
El camino atributos presentes diferentes factores de vulnerabilidad y riesgos.
O atributo banderas, los códigos de tipo de atributos, atributos longitud
Un BGP entre iguales o un extraño podría modificar la duración o atributo
Tipo de atributo (banderas y códigos tipo) no reflejan el atributo
Valores que siguieron. Si se modificaron las banderas, las banderas y
Tipo de código podría ser incompatible (es decir, un atributo obligatorio
Marcado como parcial), o un atributo opcional puede interpretarse
Como un atributo obligatorio, o viceversa. Si el tipo de código se
Modificados, el valor de atributo puede interpretarse como si se tratara de
El tipo de datos y el valor de otro atributo.
El más probable resultado de la modificación de la longitud de atributo, banderas,
O el tipo de código sería un error de análisis del mensaje UPDATE. A
Parse error podría causar la transmisión de un mensaje NOTIFICACIÓN
Y la clausura de la conexión (véase el Evento 28, supra). Como un verdadero
BGP orador es capaz de cerrar una conexión en cualquier momento, este
Vulnerabilidad representa un riesgo adicional sólo cuando la fuente
Es un extraño, es decir, que no presenta ningún riesgo adicional de un BGP
Pares.
O ORIGEN
Este campo indica si la información fue adquirida de IGP
EEE o de la información. Este campo se utiliza en la toma de enrutamiento
Decisiones, de manera que hay algunos pequeños vulnerabilidad de poder
Afectar a la recepción de enrutamiento BGP del orador decisión modificando
Este campo.
Murphy Informativo [Página 13]
RFC 4272 BGP vulnerabilidades de seguridad Analysis enero 2006
O AS_PATH
Un BGP entre iguales o de afuera podría anunciar un AS_PATH que no fue
Precisos para el asociado NLRI.
Debido a que un BGP pares no podría verificar que un recibidas comienza AS_PATH
AS con el número de sus pares, un malintencionado podría pares BGP
Anunciar un camino que comienza con el AS de BGP cualquier orador, con
Poco impacto en sí mismo. Esto podría afectar la recepción de BGP
Orador del procedimiento de decisión y elección de ruta instalado. El
Pares malicioso podría acortar considerablemente el AS_PATH, que se
Aumentar las posibilidades de que la ruta de ser elegido, tal vez dar la
Malicioso acceso a los pares de tráfico que de otra manera no recibir.
La reducción del AS_PATH también podría dar lugar a bucles de enrutamiento, ya que
No contiene la información necesaria para evitar los bucles.
Es posible que un hablante BGP a ser configurado para aceptar rutas
Con su propio número AS en el camino AS. Tales operativos
Consideraciones se definen como "fuera del alcance" de la BGP
Especificación. Pero debido a AS_PATHs puede legítimamente bucles,
Implementaciones no puede rechazar automáticamente las rutas con bucles.
Cada orador BGP sólo verifica que su propio AS número no
Aparecen en el AS_PATH.
Junto con la capacidad de utilizar cualquier valor para el NEXT_HOP, este
Proporciona un malicioso BGP orador considerable control sobre la
Ruta de tráfico tendrá.
O de origen Rutas
Un caso especial de anunciar un falso se produce cuando el AS_PATH
AS_PATH anuncia una conexión directa a una red específica
Dirección. Un BGP entre iguales o de afuera podría interrumpir el enrutamiento a la
Red (s) que figuran en el campo NLRI falsamente por el anuncio de una
Conexión directa a la red. El NLRI se convertiría
Inaccesibles a la parte de la red que aceptó esta falsa
Ruta, a menos que, en última instancia, como en el túnel se comprometió a AS_PATH
Los paquetes se presentan para este NLRI hacia su verdadera
AS destino por una ruta válida. Pero incluso cuando los paquetes son
Tunneled para el correcto destino AS, la ruta seguida no podrá
Ser óptima, o pueden no seguir la intención política. Además,
Enrutamiento para otras redes en la Internet podría verse afectado si
El falso anuncio fragmentado global bloque de direcciones,
Obligando a los routers de manejar (cuestión ACTUALIZACIONES, almacenar, administrar) la
Múltiples fragmentos en lugar de la única agregado. Falso
Originations para múltiples direcciones puede resultar en routers y
Redes de tránsito a lo largo de la ruta anunciado para convertirse en una avalancha de
Mal dirigidas tráfico.
Murphy Informational [Page 14]
RFC 4272 BGP Security Vulnerabilities Analysis January 2006
o NEXT_HOP
The NEXT_HOP attribute defines the IP address of the border router
that should be used as the next hop when forwarding the NLRI
listed in the UPDATE message. If the recipient is an external
peer, then the recipient and the NEXT_HOP address must share a
subnet. It is clear that an outsider who modified this field
could disrupt the forwarding of traffic between the two ASes.
If the recipient of the message is an external peer of an AS and
the route was learned from another peer AS (this is one of two
forms of "third party" NEXT_HOP), then the BGP speaker advertising
the route has the opportunity to direct the recipient to forward
traffic to a BGP speaker at the NEXT_HOP address. This affords
the opportunity to direct traffic at a router that may not be able
to continue forwarding the traffic. A malicious BGP speaker can
also use this technique to force another AS to carry traffic it
would otherwise not have to carry. In some cases, this could be
to the malicious BGP speaker's benefit, as it could cause traffic
to be carried long-haul by the victim AS to some other peering
point it shared with the victim.
o MULTI_EXIT_DISC
The MULTI_EXIT_DISC attribute is used in UPDATE messages
transmitted between inter-AS BGP peers. While the MULTI_EXIT_DISC
received from an inter-AS peer may be propagated within an AS, it
may not be propagated to other ASes. Consequently, this field is
only used in making routing decisions internal to one AS.
Modifying this field, whether by an outsider or a BGP peer, could
influence routing within an AS to be sub-optimal, but the effect
should be limited in scope.
o LOCAL_PREF
The LOCAL_PREF attribute must be included in all messages with
internal peers, and excluded from messages with external peers.
Consequently, modification of the LOCAL_PREF could effect the
routing process within the AS only. Note that there is no
requirement in the BGP RFC that the LOCAL_PREF be consistent among
the internal BGP speakers of an AS. Because BGP peers are free to
choose the LOCAL_PREF, modification of this field is a
vulnerability with respect to outsiders only.
Murphy Informational [Page 15]
RFC 4272 BGP Security Vulnerabilities Analysis January 2006
o ATOMIC_AGGREGATE
The ATOMIC_AGGREGATE field indicates that an AS somewhere along
the way has aggregated several routes and advertised the aggregate
NLRI without the AS_SET being formed as usual from the ASes in the
aggregated routes' AS_PATHs. BGP speakers receiving a route with
ATOMIC_AGGREGATE are restricted from making the NLRI any more
specific. Removing the ATOMIC_AGGREGATE attribute would remove
the restriction, possibly causing traffic intended for the more
specific NLRI to be routed incorrectly. Adding the
ATOMIC_AGGREGATE attribute, when no aggregation was done, would
have little effect beyond restricting the un-aggregated NLRI from
being made more specific. This vulnerability exists whether the
source is a BGP peer or an outsider.
o AGGREGATOR
This field may be included by a BGP speaker who has computed the
routes represented in the UPDATE message by aggregating other
routes. The field contains the AS number and IP address of the
last aggregator of the route. It is not used in making any
routing decisions, so it does not represent a vulnerability.
3.1.5.4. NLRI
By modifying or forging this field, either an outsider or BGP peer
source could cause disruption of routing to the announced network,
overwhelm a router along the announced route, cause data loss when
the announced route will not forward traffic to the announced
network, route traffic by a sub-optimal route, etc.
3.2. Vulnerabilities through Other Protocols
3.2.1. TCP Messages
BGP runs over TCP, listening on port 179. Therefore, BGP is subject
to attack through attacks on TCP.
3.2.1.1. TCP SYN
SYN flooding: Like other protocols, BGP is subject to the effects on
the TCP implementation of SYN flooding attacks, and must rely on the
implementation's protections against these attacks.
Event 14: If an outsider were able to send a SYN to the BGP speaker
at the appropriate time during connection establishment, then the
legitimate peer's SYN would appear to be a second connection. If the
outsider were able to continue with a sequence of packets resulting
Murphy Informational [Page 16]
RFC 4272 BGP Security Vulnerabilities Analysis January 2006
in a BGP connection (guessing the BGP speaker's choice for sequence
number on the SYN ACK, for example), then the outsider's connection
and the legitimate peer's connection would appear to be a connection
collision. Depending on the outcome of the collision detection
(ie, if the outsider chooses a BGP identifier so as to win the
race), the legitimate peer's true connection could be destroyed. The
use of [TCPMD5] can counter this attack.
3.2.1.2. TCP SYN ACK
Event 16: If an outsider were able to respond to a BGP speaker's SYN
before the legitimate peer, then the legitimate peer's SYN-ACK would
receive an empty ACK reply, causing the legitimate peer to issue a
RST that would break the connection. The BGP speaker would bring
down the connection, release all associated BGP resources, delete all
associated routes, and run its decision process. This attack
requires that the outsider be able to predict the sequence number
used in the SYN. The use of [TCPMD5] can counter this attack.
3.2.1.3. TCP ACK
Event 17: If an outsider were able to spoof an ACK at the
appropriate time during connection establishment, then the BGP
speaker would consider the connection complete, send an OPEN (Event
17), and transition to the OpenSent state. The arrival of the
legitimate peer's ACK would not be delivered to the BGP process, as
it would look like a duplicate packet. Thus, this message does not
present a vulnerability to BGP during connection establishment.
Spoofing an ACK after connection establishment requires knowledge of
the sequence numbers in use, and is, in general, a very difficult
task. The use of [TCPMD5] can counter this attack.
3.2.1.4. TCP RST/FIN/FIN-ACK
Event 18: If an outsider were able to spoof a RST, the BGP speaker
would bring down the connection, release all associated BGP
resources, delete all associated routes, and run its decision
process. If an outsider were able to spoof a FIN, then data could
still be transmitted, but any attempt to receive it would trigger a
notification that the connection is closing. In most cases, this
results in the connection being placed in an Idle state. But if the
connection is in the Connect state or the OpenSent state at the time,
the connection will return to an Active state.
Spoofing a RST in this situation requires an outsider to guess a
sequence number that need only be within the receive window
[Watson04]. This is generally an easier task than guessing the exact
Murphy Informational [Page 17]
RFC 4272 BGP Security Vulnerabilities Analysis January 2006
sequence number required to spoof a FIN. The use of [TCPMD5] can
counter this attack.
3.2.1.5. DoS and DDos
Because the packets directed to TCP port 179 are passed to the BGP
process, which potentially resides on a slower processor in the
router, flooding a router with TCP port 179 packets is an avenue for
DoS attacks against the router. No BGP mechanism can defeat such
attacks; other mechanisms must be employed.
3.2.2. Other Supporting Protocols
3.2.2.1. Manual Stop
Event 2: A manual stop event causes the BGP speaker to bring down
the connection, release all associated BGP resources, delete all
associated routes, and run its decision process. If the mechanism by
which a BGP speaker was informed of a manual stop is not carefully
protected, the BGP connection could be destroyed by an outsider.
Consequently, BGP security is secondarily dependent on the security
of the management and configuration protocols that are used to signal
this event.
3.2.2.2. Open Collision Dump
Event 23: The OpenCollisionDump event may be generated
administratively when a connection collision event is detected and
the connection has been selected to be disconnected. When this event
occurs in any state, the BGP connection is dropped, the BGP resources
are released, the associated routes are deleted, etc. Consequently,
BGP security is secondarily dependent on the security of the
management and configuration protocols that are used to signal this
event.
3.2.2.3. Timer Events
Events 9-13: BGP employs five timers (ConnectRetry, Hold, Keepalive,
MinASOrigination-Interval, and MinRouteAdvertisementInterval) and two
optional timers (DelayOpen and IdleHold). These timers are critical
to BGP operation. For example, if the Hold timer value were changed,
the remote peer might consider the connection unresponsive and bring
the connection down, thus releasing resources, deleting associated
routes, etc. Consequently, BGP security is secondarily dependent on
the security of the operation, management, and configuration
protocols that are used to modify the timers.
Murphy Informational [Page 18]
RFC 4272 BGP Security Vulnerabilities Analysis January 2006
4. Security Considerations
This entire memo is about security, describing an analysis of the
vulnerabilities that exist in BGP.
Use of the mandatory-to-support mechanisms of [TCPMD5] counters the
message insertion, deletion, and modification attacks, as well as
man-in-the-middle attacks by outsiders. If routing data
confidentiality is desired (there is some controversy as to whether
it is a desirable security service), the use of IPsec ESP could
provide that service.
4.1. Residual Risk
As cryptographic-based mechanisms, both [TCPMD5] and IPsec [IPsec]
assume that the cryptographic algorithms are secure, that secrets
used are protected from exposure and are chosen well so as not to be
guessable, that the platforms are securely managed and operated to
prevent break-ins, etc.
These mechanisms do not prevent attacks that arise from a router's
legitimate BGP peers. There are several possible solutions to
prevent a BGP speaker from inserting bogus information in its
advertisements to its peers (ie, from mounting an attack on a
network's origination or AS-PATH):
(1) Origination Protection: sign the originating AS.
(2) Origination and Adjacency Protection: sign the originating AS
and predecessor information ([Smith96])
(3) Origination and Route Protection: sign the originating AS, and
nest signatures of AS_PATHs to the number of consecutive bad
routers you want to prevent from causing damage. ([SBGP00])
(4) Filtering: rely on a registry to verify the AS_PATH and NLRI
originating AS ([RPSL]).
Filtering is in use near some customer attachment points, but is not
effective near the Internet center. The other mechanisms are still
controversial and are not yet in common use.
4.2. Operational Protections
BGP is primarily used as a means to provide reachability information
to Autonomous Systems (AS) and to distribute external reachability
internally within an AS. BGP is the routing protocol used to
Murphy Informational [Page 19]
RFC 4272 BGP Security Vulnerabilities Analysis January 2006
distribute global routing information in the Internet. Therefore,
BGP is used by all major Internet Service Providers (ISP), as well as
many smaller providers and other organizations.
BGP's role in the Internet puts BGP implementations in unique
conditions, and places unique security requirements on BGP. BGP is
operated over interprovider interfaces in which traffic levels push
the state of the art in specialized packet forwarding hardware and
exceed the performance capabilities of hardware implementation of
decryption by many orders of magnitude. The capability of an
attacker using a single workstation with high speed interface to
generate false traffic for denial of service (DoS) far exceeds the
capability of software-based decryption or appropriately-priced
cryptographic hardware to detect the false traffic. Under such
conditions, one means to protect the network elements from DoS
attacks is to use packet-based filtering techniques based on
relatively simple inspections of packets. As a result, for an ISP
carrying large volumes of traffic, the ability to packet filter on
the basis of port numbers is an important protection against DoS
attacks, and a necessary adjunct to cryptographic strength in
encapsulation.
Current practice in ISP operation is to use certain common filtering
techniques to reduce the exposure to attacks from outside the ISP.
To protect Internal BGP (IBGP) sessions, filters are applied at all
borders to an ISP network. This removes all traffic destined for
network elements' internal addresses (typically contained within a
single prefix) and the BGP port number (179). If the BGP port number
is found, packets from within an ISP are not forwarded from an
internal interface to the BGP speaker's address (on which External
BGP (EBGP) sessions are supported), or to a peer's EBGP address.
Appropriate router design can limit the risk of compromise when a BGP
peer fails to provide adequate filtering. The risk can be limited to
the peering session on which filtering is not performed by the peer,
or to the interface or line card on which the peering is supported.
There is substantial motivation, and little effort is required, for
ISPs to maintain such filters.
These operational practices can considerably raise the difficulty for
an outsider to launch a DoS attack against an ISP. Prevented from
injecting sufficient traffic from outside a network to effect a DoS
attack, the attacker would have to undertake more difficult tasks,
such as compromising the ISP network elements or undetected tapping
into physical media.
Murphy Informational [Page 20]
RFC 4272 BGP Security Vulnerabilities Analysis January 2006
5. References
5.1. Normative References
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate
Requirement Levels", RFC 2119, BCP 14, March 1997.
[TCPMD5] Heffernan, A., "Protection of BGP Sessions via the TCP MD5
Signature Option", RFC 2385, August 1998.
[RFC4271] Rekhter, Y., Li, T., and S. Hares, Eds., "A Border Gateway
Protocol 4 (BGP-4)", RFC 4271, January 2006.
5.2. Informative References
[IPsec] Kent, S. and R. Atkinson, "Security Architecture for the
Internet Protocol", RFC 2401, November 1998.
[SBGP00] Kent, S., Lynn, C. and Seo, K., "Secure Border Gateway
Protocol (Secure-BGP)", IEEE Journal on Selected Areas in
Communications, Vol. 18, No. 4, April 2000, pp. 582-592.
[SecCons] Rescorla, E. and B. Korver, "Guidelines for Writing RFC
Text on Security Considerations", BCP 72, RFC 3552, July
2003.
[Smith96] Smith, B. and Garcia-Luna-Aceves, JJ, "Securing the
Border Gateway Routing Protocol", Proc. Global Internet
'96, London, UK, 20-21 November 1996.
[RPSL] Villamizar, C., Alaettinoglu, C., Meyer, D., and S.
Murphy, "Routing Policy System Security", RFC 2725,
December 1999.
[Watson04] Watson, P., "Slipping In The Window: TCP Reset Attacks",
CanSecWest 2004, April 2004.
Author's Address
Sandra Murphy
Sparta, Inc.
7075 Samuel Morse Drive
Columbia, MD 21046
EMail: Sandy@tislabs.com
Murphy Informational [Page 21]
RFC 4272 BGP Security Vulnerabilities Analysis January 2006
Full Copyright Statement
Copyright (C) The Internet Society (2006).
This document is subject to the rights, licenses and restrictions
contained in BCP 78, and except as set forth therein, the authors
retain all their rights.
This document and the information contained herein are provided on an
"AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS
OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY AND THE INTERNET
ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED,
INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE
INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED
WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
Intellectual Property
The IETF takes no position regarding the validity or scope of any
Intellectual Property Rights or other rights that might be claimed to
pertain to the implementation or use of the technology described in
this document or the extent to which any license under such rights
might or might not be available; nor does it represent that it has
made any independent effort to identify any such rights. Information
on the procedures with respect to rights in RFC documents can be
found in BCP 78 and BCP 79.
Copies of IPR disclosures made to the IETF Secretariat and any
assurances of licenses to be made available, or the result of an
attempt made to obtain a general license or permission for the use of
such proprietary rights by implementers or users of this
specification can be obtained from the IETF on-line IPR repository at
http://www.ietf.org/ipr.
The IETF invites any interested party to bring to its attention any
copyrights, patents or patent applications, or other proprietary
rights that may cover technology that may be required to implement
this standard. Please address the information to the IETF at
ietf-ipr@ietf.org.
Acknowledgement
Funding for the RFC Editor function is provided by the IETF
Administrative Support Activity (IASA).
Murphy Informational [Page 22]