internet resource cer fica on and origin valida on
play

Internet Resource Cer)fica)on and Origin Valida)on An - PowerPoint PPT Presentation

Apr 26, 2023 •11 likes •261 views

Internet Resource Cer)fica)on and Origin Valida)on An approach to more secure rou/ng on the Internet Carlos Mar)nez Cagnazzo carlos @ lacnic.net

  1. Internet ¡Resource ¡Cer)fica)on ¡and ¡ Origin ¡Valida)on ¡ An ¡approach ¡to ¡more ¡secure ¡rou/ng ¡on ¡the ¡ Internet ¡ Carlos ¡Mar)nez ¡– ¡Cagnazzo ¡ carlos ¡@ ¡lacnic.net ¡

  2. Agenda ¡ • Traffic ¡rou)ng ¡on ¡the ¡Internet ¡ • Route ¡Hijacking ¡ • Current ¡counter-­‑measures ¡ ¡ • Resource ¡cer)fica)on ¡ • Origin ¡valida)on ¡ • References ¡

  3. Traffic ¡Flow ¡on ¡the ¡Internet ¡ ASN ¡20 ¡ announces ¡ 200.40.0.0/16 ¡ ASN 2 ASN 3 ASN1 ASN 20 ASN 10 ¡ The ¡200.40.0.0/16 ¡prefix ¡ propagates ¡accross ¡ASs ¡(via ¡ BGP ¡sessions) ¡ ¡ Each ¡router ¡applies ¡a ¡ decision ¡algorithm ¡ ASN ¡10 ¡receives ¡ ¡ announcement ¡for ¡ Each ¡announcement ¡carries ¡a ¡set ¡of ¡aXributes: ¡ ¡ 200.40.0.0/16 ¡ 200.40.0.0/16 ¡ AS_PATH ¡ASN1 ¡ASN3 ¡ ASN6057 ¡ ¡

  4. Rou)ng ¡in ¡the ¡Internet ¡(ii) ¡ • BGP ¡chooses ¡routes ¡using ¡a ¡ decision ¡algorithm ¡and ¡the ¡ values ¡of ¡the ¡set ¡of ¡available ¡ a;ributes ¡ • AS_PATH ¡is ¡a ¡list ¡of ¡the ¡ autonomous ¡systems ¡a ¡given ¡ UPDATE ¡has ¡traversed ¡ In ¡this ¡case ¡ASN ¡20 ¡is ¡ – The ¡first ¡entry ¡is ¡the ¡AS ¡ the ¡"origin-­‑as" ¡for ¡ origina)ng ¡the ¡route ¡(hence ¡ 200.40/16 ¡ "origin-­‑as") ¡

  5. Route ¡Hijacking ¡ • When ¡an ¡en)ty ¡par)cipa)ng ¡in ¡Internet ¡rou)ng ¡ announces ¡a ¡prefix ¡without ¡authoriza)on ¡We ¡face ¡a ¡ route ¡hijack ¡ • Malicious ¡or ¡due ¡to ¡opera)onal ¡mistakes ¡ • Most ¡of ¡the ¡)me ¡you ¡just ¡can’t ¡tell ¡ • Some ¡well-­‑known ¡cases: ¡ – Pakistan ¡Telecom ¡vs. ¡You ¡Tube ¡(2008) ¡ – China ¡Telecom ¡capturing ¡traffic ¡to/from ¡the ¡U.S. ¡(2010) ¡ – Google ¡in ¡Eastern ¡Europe ¡(various ¡ASs, ¡2010) ¡ – Some ¡occurrences ¡in ¡LACNIC’s ¡service ¡region ¡(January/ February ¡2011) ¡ – One ¡ongoing ¡occurrence ¡(CL ¡– ¡CO) ¡

  6. Route ¡Hijacking ¡(ii) ¡ ¡ AS ¡20 ¡ announces ¡ 200.40/16 ¡ ASN 2 ¡ ASN 3 ASN1 ASN 20 ASN 10 ASN 66 ¡ AS ¡66 ¡announces ¡ AS ¡8158 ¡gets ¡ 200.40/24 ¡ 200.40.0.0/16 ¡and ¡ ¡ 200.40.235.0/24 ¡ AS ¡10 ¡gets ¡ 200.40.0.0/16 ¡AS_PATH ¡ASN1 ¡ASN3 ¡ ASN6057 ¡ 200.40.0.0/16 ¡ 200.40.235.0/24 ¡AS_PATH ¡ASN1 ¡ASN3 ¡ ASN6057 ¡

  7. Route ¡Hijacking ¡(iii) ¡ • RIPE ¡NCC ¡Video ¡of ¡the ¡YouTube ¡incident ¡ – hXp://www.youtube.com/watch?v=IzLPKuAOe50 ¡

  8. Route ¡Hijacking ¡Mi)ga)on ¡ Current ¡Prac)ces ¡

  9. Peering ¡RelaLonships ¡ Upstream ¡/ ¡Transit ¡ ¡ Provider ¡ ¡ Hello! ¡I ¡have ¡ ¡ 1.2.3.0/24 ¡to ¡ announce ¡ Customer ¡ ¡ ¡ • Upstreams ¡should ¡check ¡whether ¡customers ¡are ¡authorized ¡ to ¡announce ¡resources ¡ • Some ¡ask ¡for ¡an ¡email ¡to ¡be ¡sent ¡to ¡a ¡specific ¡address, ¡others ¡ ask ¡for ¡a ¡web ¡form, ¡others ¡ask ¡for ¡entries ¡in ¡IRRs, ¡others ¡check ¡ WHOIS ¡ • Not ¡consistent, ¡varies ¡from ¡carrier ¡to ¡carrier ¡ • Some)mes ¡ from ¡customer ¡to ¡customer ¡of ¡the ¡same ¡carrier ¡ ¡

  10. Peering ¡RelaLonships ¡(ii) ¡ Upstream ¡/ ¡Transit ¡ ¡ Provider ¡ ¡ Hello! ¡I ¡have ¡ ¡ 1.2.3.0/24 ¡to ¡ announce ¡ ¡ Customer ¡ Sure! ¡Send ¡ ¡ whatever ¡you ¡ ¡ have! ¡ • In ¡the ¡end ¡the ¡integrity ¡of ¡the ¡rou)ng ¡system ¡depends ¡on ¡ ad-­‑hoc ¡trust ¡relaLonships ¡between ¡peers ¡ • The ¡problem ¡lies ¡in ¡that ¡ ¡ • Checks ¡are ¡inconsistently ¡applied ¡ Some)mes ¡no ¡verifica)on ¡at ¡all ¡is ¡performed ¡ • • Current ¡tools ¡are ¡ill-­‑suited ¡for ¡automa)ng ¡this ¡process ¡ ¡

  11. Peering ¡RelaLonships ¡(iii) ¡ Upstream ¡/ ¡Transit ¡ ¡ Provider ¡ ¡ Hello! ¡I ¡have ¡ ¡ 1.2.3.0/24 ¡to ¡ announce ¡ ¡ Customer ¡ Who ¡did ¡you ¡ ¡ say ¡you ¡were, ¡ ¡ again??? ¡ • Other ¡recommended ¡prac)ces ¡include ¡ – uRPF ¡filtering ¡where ¡applicable ¡ – Rou)ng ¡protocol ¡integrity ¡ • Peer ¡authen)ca)on ¡w/ ¡MD5 ¡passwords ¡ • Filtering ¡known-­‑invalid ¡routes ¡ – ¡Filter ¡RFC ¡1918 ¡and ¡other ¡well-­‑known ¡bogons ¡ ¡ ¡

  12. Resource ¡Cer)fica)on ¡and ¡Origin ¡ Valida)on ¡

  13. Internet ¡Number ¡Resource ¡Management ¡ ¡ • What ¡do ¡we ¡mean ¡by ¡resources? ¡ – IPv4, ¡IPv6 ¡ ¡Addresses, ¡ ¡ASNs ¡ • Five ¡regional ¡registries ¡ • AFRINIC, ¡APINIC, ¡ARIN, ¡LACNIC ¡ • RIPE-­‑NCC ¡ • One ¡central ¡pool: ¡IANA ¡ • Each ¡RIR ¡is ¡the ¡ authoritaLve ¡source ¡on ¡the ¡rela)onship ¡ between ¡ users/holders ¡ and ¡resources ¡ – Each ¡RIR ¡operates ¡a ¡registry ¡database ¡ – Each ¡RIR ¡has ¡a ¡ contract ¡with ¡the ¡organiza)ons ¡receiving ¡ resources ¡

  14. Internet ¡Number ¡Resource ¡Management ¡(ii) ¡ IANA ¡ ARIN ¡ LACNIC ¡ APNIC ¡ RIPE ¡NCC ¡ AfriNIC ¡ ISP ¡#1 ¡ ISP ¡ NIC.br ¡ NIC.MX ¡ LIRs/ISPs ¡ LIRs/ISPs ¡ End ¡ users ¡ ISP ¡mx ¡

  15. Resource ¡Public ¡Key ¡Infrastructure ¡(RPKI) ¡ • Goals: ¡ – Create ¡cryptographic ¡proofs ¡(cer)ficates) ¡that ¡serve ¡as ¡proof ¡of ¡ resource ¡holdership ¡ – Enable ¡automa)c ¡verifica)on ¡of ¡route ¡announcements ¡in ¡ routers ¡ • High-­‑level ¡overview ¡ – Use ¡of ¡X.509 ¡v3 ¡cer)ficates ¡ ¡ – Use ¡RFC ¡3779 ¡extensions ¡on ¡these ¡cer)ficates. ¡These ¡extensions ¡ allow ¡Internet ¡resources ¡(IPv4/IPv6/ASNs) ¡fields ¡within ¡ cer)ficates ¡ ¡ ¡ – ROAs: ¡Signed ¡objects ¡that ¡contain ¡origin ¡AS ¡data. ¡ – Mechanisms ¡to ¡push ¡validated ¡data ¡to ¡routers ¡and ¡to ¡ automa)cally ¡check ¡the ¡“origin-­‑as” ¡of ¡a ¡BGP ¡UPDATE ¡ ¡

  16. Resource ¡PKI ¡(ii) ¡ • All ¡RPKI ¡signed ¡objects ¡are ¡listed ¡in ¡public ¡ repositories ¡ • Aser ¡verifica)on, ¡these ¡objects ¡can ¡be ¡used ¡to ¡ configure ¡policy ¡in ¡routers ¡ • Valida)on ¡Process ¡ – Signed ¡objects ¡have ¡references ¡to ¡the ¡cer)ficate ¡used ¡to ¡ sign ¡them ¡ – The ¡resources ¡listed ¡in ¡a ¡cer)ficate ¡MUST ¡be ¡valid ¡subsets ¡ of ¡the ¡resources ¡listed ¡in ¡its ¡parent's ¡cer)ficate ¡ – The ¡trust ¡chain ¡is ¡traced ¡to ¡the ¡trust ¡anchor ¡in ¡two ¡ aspects: ¡ – Cryptographically ¡ ¡ – CIDR ¡terms ¡

  17. X.509 ¡Cer)ficates ¡with ¡RFC ¡3779 ¡extensions ¡ Version ¡ • "IP ¡Delega)on" ¡Sec)on ¡ Serial ¡Number ¡ – Special ¡value: ¡"INHERITED" ¡ ¡ Signature ¡Algorithm ¡ • "AS ¡Delega)on" ¡Sec)on ¡ Issuer ¡ – Special ¡value: ¡"INHERITED" ¡ Subject ¡ Subject ¡Public ¡Key ¡ • Valida)on ¡Process ¡ Extensions ¡ – Tradi)onal ¡crypto ¡valida)on ¡ Subject ¡Informa)on ¡ ¡Authority ¡(SIA) ¡ – Signature ¡chain ¡up ¡to ¡the ¡trust ¡anchor ¡ Authority ¡Informa)on ¡ ¡ Access ¡(AIA) ¡ – Addi)onally ¡involves ¡valida)on ¡of ¡ Addr: ¡10.10.10.0 ¡ resources ¡ ¡ Asid: ¡65535 ¡ – CIDR ¡(AKA ¡subneung) ¡inclusion ¡

  18. RPKI ¡Trust ¡Chain ¡ RTA ¡holds ¡all ¡ LACNIC ¡RTA ¡ LACNIC ¡resources ¡ LACNIC ¡resources ¡ Signature ¡ chain ¡ LACNIC ¡ 200.0.0.0/8 ¡ CIDR ¡ Produc)on ¡ inclusion ¡ <<INHERITED>> ¡ 200.1.0.0/16 ¡ ISP ¡#2 ¡ ISP ¡#1 ¡ ISP ¡#2 ¡Resources ¡ ISP ¡#1 ¡Resources ¡ End ¡User ¡CA ¡ ROA ¡ ROA ¡ #1 ¡ 200.1.1.0/24 ¡ End ¡En)ty ¡cert. ¡ End ¡En)ty ¡cert. ¡ (EU ¡#1 ¡Resources) ¡ ROA ¡ ROA ¡ End ¡En)ty ¡cert. ¡ End ¡En)ty ¡cert. ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

LAG-3: Iden,fica,on &amp; Valida,on Of Next Genera,on Checkpoint

LAG-3: Iden,fica,on &amp; Valida,on Of Next Genera,on Checkpoint

LAG-3: Iden,fica,on &amp; Valida,on Of Next Genera,on Checkpoint Pathways ICI Europe Conference Frdric Triebel, CSO/CMO November 18, 2015

368 views • 23 slides
10th U.S. Na+onal Combus+on Mee+ng: Valida&amp;on and uncertainty quan&amp;fica&amp;on analysis

10th U.S. Na+onal Combus+on Mee+ng: Valida&amp;on and uncertainty quan&amp;fica&amp;on analysis

10th U.S. Na+onal Combus+on Mee+ng: Valida&amp;on and uncertainty quan&amp;fica&amp;on analysis (VUQ) of a char oxida&amp;on model Oscar Diaz-Ibarra , Jennifer Spin&amp;, Philip Smith Ins&amp;tute for Clean and Secure Energy, University of Utah,

532 views • 16 slides
Communication security over the Internet The big picture Me Internet Resource Internet

Communication security over the Internet The big picture Me Internet Resource Internet

Communication security over the Internet The big picture Me Internet Resource Internet Server Client Attack vectors MAN DNS LAN Client Internet Back Bone Router Networking WWW overview MITM (Man In The Middle) 3 2 4 5 LAN

244 views • 23 slides
ISO Cer(fica(on Helping Inspire to do things be8er What is

ISO Cer(fica(on Helping Inspire to do things be8er What is

ISO Cer(fica(on Helping Inspire to do things be8er What is ISO Cer(fica(on? An interna)onal Quality standard Globally over 1 million cer)fied companies

448 views • 15 slides
Internet Resource Certification (RPKI) Building a More Secure Internet Sint-Maarten Internet Week

Internet Resource Certification (RPKI) Building a More Secure Internet Sint-Maarten Internet Week

Internet Resource Certification (RPKI) Building a More Secure Internet Sint-Maarten Internet Week Carlos Mar2nez Cagnazzo carlos @ lacnic.net A9acks on rou;ng: IP hijacks How Internet number resources are managed IANA ARIN LACNIC APNIC

788 views • 31 slides
GENIE: Valida,on and Tuning status report Julia Yarba,

GENIE: Valida,on and Tuning status report Julia Yarba,

GENIE: Valida,on and Tuning status report Julia Yarba, FNAL Simula,on for Neutrinos mee,ng Jan.30, 2016 GENE Valida,on and Tuning

369 views • 16 slides
Valida&amp;on of the Effec&amp;veness of an Op&amp;mized

Valida&amp;on of the Effec&amp;veness of an Op&amp;mized

Valida&amp;on of the Effec&amp;veness of an Op&amp;mized EPMcreate as an Aid for Crea&amp;ve Requirements Elicita&amp;on Victoria Sakhnini 1 , Daniel M. Berry 1 , &amp;

722 views • 56 slides
NRO update To be the flagship and global leader for collaborative Internet number resource

NRO update To be the flagship and global leader for collaborative Internet number resource

NRO update To be the flagship and global leader for collaborative Internet number resource management as a central element of an open, stable and secure Internet LACNIC 27, Foz do Iguau, Brasil What is the NRO? Number Resource

283 views • 11 slides
ChemCal, a surface cleaning valida?on tool for deposi?ng pre-determined chemical concentra?ons,

ChemCal, a surface cleaning valida?on tool for deposi?ng pre-determined chemical concentra?ons,

IFPAC Conference - Feb 14, 2018 ChemCal, a surface cleaning valida?on tool for deposi?ng pre-determined chemical concentra?ons, used in the calibra?on of surface cleaning valida?on tools. Authors: Michael Reid William Hug Ray Reid Are

631 views • 22 slides
Introduc:on protocol ? Iden:fica:on based on payload Payload

Introduc:on protocol ? Iden:fica:on based on payload Payload

Protocol Iden:fica:on Elie Bursztein eb@lsv.ens-cachan.fr WISTP 2008 Probabilis:c Iden:fica:on for Hard to classify Protocol Elie Bursztein PhD Student

729 views • 33 slides
Improving and valiDa/ng the use of a VANCOmycin nomogram

Improving and valiDa/ng the use of a VANCOmycin nomogram

Improving and valiDa/ng the use of a VANCOmycin nomogram ID-VANCO Study 2015 VIHA Pharmacy Conference Saturday April 11 th , 2015 Inves/gators

623 views • 23 slides
ANALYSTS MEETING 1/2017 ORIGIN PROPERTY PCL. B usiness Group Structure Origin Condominium Origin

ANALYSTS MEETING 1/2017 ORIGIN PROPERTY PCL. B usiness Group Structure Origin Condominium Origin

ANALYSTS MEETING 1/2017 ORIGIN PROPERTY PCL. B usiness Group Structure Origin Condominium Origin Vertical Origin Vertical 2 Condominium Origin Prime Origin Sathorn House Origin House Origin Sphere Freehold Primo Realtor Leasehold

723 views • 35 slides
NRO update To be the flagship and global leader for collaborative Internet number resource

NRO update To be the flagship and global leader for collaborative Internet number resource

NRO update To be the flagship and global leader for collaborative Internet number resource management as a central element of an open, stable and secure Internet LACNIC 26, September 30th 2016 San Jose, Costa Rica Presentation Summary

474 views • 13 slides
Identifying Cross-origin Resource Status Using Application Cache 2015 Network and Distributed

Identifying Cross-origin Resource Status Using Application Cache 2015 Network and Distributed

Identifying Cross-origin Resource Status Using Application Cache 2015 Network and Distributed System Security Symposium ho Lee , Hyungsub Kim, and Jong Kim Sang ngho POSTECH, Korea February 9, 2015 Web, HTML5, and Threats Web and HTML5

636 views • 24 slides
Market Valida,on Mark Robinson Start-Up Execu6ve &amp; Advisor:

Market Valida,on Mark Robinson Start-Up Execu6ve &amp; Advisor:

Market Valida,on Mark Robinson Start-Up Execu6ve &amp; Advisor: Innova6on Norway Our Team Jostein Vik Ase Bailey Me Nathan Gold An Opportunity to Improve

558 views • 21 slides
Recommenda)ons and Ques)ons wwPDB/CCDC/D3R Ligand Valida)on Workshop

Recommenda)ons and Ques)ons wwPDB/CCDC/D3R Ligand Valida)on Workshop

Recommenda)ons and Ques)ons wwPDB/CCDC/D3R Ligand Valida)on Workshop Center for Integra)ve Proteomics Research, Rutgers 7/30-31/2015 Group D, Academic and

409 views • 16 slides
Measuring IPv6 with adver3sements for fun and profit George

Measuring IPv6 with adver3sements for fun and profit George

Measuring IPv6 with adver3sements for fun and profit George Michaelson, APNIC how to measure the Internet What do we mean when we say

596 views • 59 slides
Formally-Verified ASN.1 Protocol C-language Stack 1 Carnegie Mellon University 2 Digamma.ai Vadim

Formally-Verified ASN.1 Protocol C-language Stack 1 Carnegie Mellon University 2 Digamma.ai Vadim

Formally-Verified ASN.1 Protocol C-language Stack 1 Carnegie Mellon University 2 Digamma.ai Vadim Zaliva 1 Nika Pona 2 What is ASN.1? At Digamma.ai we are verifying a compiler for ASN.1 The ASN.1 is a language for defining data

215 views • 21 slides
A study of RPKI deployment and discussion for improvement RPKI is Coming of Age Taejoong (Tijay)

A study of RPKI deployment and discussion for improvement RPKI is Coming of Age Taejoong (Tijay)

A study of RPKI deployment and discussion for improvement RPKI is Coming of Age Taejoong (Tijay) Chung (https://tijay.github.io) Assistant Professor Rochester Institute of Technology 1 Outlines RPKI deployment and invalid route origins

583 views • 43 slides
www.asn.am Journal #5 The start of World War One has often been stated to start with

www.asn.am Journal #5 The start of World War One has often been stated to start with

www.asn.am Journal #5 The start of World War One has often been stated to start with www.asn.am Doolally www.asn.am Vile highly offensive, unpleasant, or objectionable; morally debased, depraved, or despicable www.asn.am Bloke

373 views • 9 slides
Grandma has a problem An email or web banner offered her a free demo of the game Bejeweled 3D

Grandma has a problem An email or web banner offered her a free demo of the game Bejeweled 3D

Internet Special Ops Stalking Badness Through Data Mining Paul Vixie Andrew Fried Dr. Chris Lee Grandma has a problem An email or web banner offered her a free demo of the game Bejeweled 3D She clicked yes to download a

937 views • 72 slides
INOC-DBA Inter NOC Dial by ASN INOC-DBA INOC-DBA ( I nter- N etwork O perations C enter D ial

INOC-DBA Inter NOC Dial by ASN INOC-DBA INOC-DBA ( I nter- N etwork O perations C enter D ial

INOC-DBA Inter NOC Dial by ASN INOC-DBA INOC-DBA ( I nter- N etwork O perations C enter D ial B y A SN) is a hotline phone system created and operated by Packet Clearing House in 2002. Inter NOC Dial by ASN INOC-DBA The INOC-DBA provides

831 views • 32 slides
Meaningful Variable Names for Decompiled Code: A Machine Translation Approach Alan Jaffe, Jeremy

Meaningful Variable Names for Decompiled Code: A Machine Translation Approach Alan Jaffe, Jeremy

Meaningful Variable Names for Decompiled Code: A Machine Translation Approach Alan Jaffe, Jeremy Lacomis , Edward J. Schwartz*, Claire Le Goues, and Bogdan Vasilescu * Problem: Obfuscated Variable Names in Code Minified JavaScript: function

736 views • 56 slides
On Inferring and Characterizing On Inferring and Characterizing Internet Routing Policies

On Inferring and Characterizing On Inferring and Characterizing Internet Routing Policies

On Inferring and Characterizing On Inferring and Characterizing Internet Routing Policies Internet Routing Policies Feng Wang Lixin Gao Department of Electrical and Computer Engineering University of Massachusetts, Amherst MA 01002, USA 1

450 views • 18 slides

More recommend