米国 NIST SP 800-189 Rev. 1(初期公開ドラフト) ボーダーゲートウェイプロトコルのセキュリティとレジリエンス
こんにちは、丸山満彦です。
NISTが、SP 800-189 Rev. 1(初期公開ドラフト) ボーダーゲートウェイプロトコルのセキュリティとレジリエンスを公表し、意見募集をしていますね...
この年末は、JAL、金融機関に対するDDoS攻撃も話題になりましたからね...
● NIST - ITL
・2025.01.03 NIST SP 800-189 Rev. 1 (Initial Public Draft) Border Gateway Protocol Security and Resilience
| NIST SP 800-189 Rev. 1 (Initial Public Draft) Border Gateway Protocol Security and Resilience | NIST SP 800-189 Rev. 1(初期公開草案) ボーダーゲートウェイプロトコルのセキュリティとレジリエンス |
| Announcement | 発表 |
| In recent years, numerous Internet routing incidents — such as Border Gateway Protocol (BGP) prefix hijacking, and route leaks — have resulted in denial of service (DoS), unwanted data traffic detours, and performance degradation. Large-scale distributed denial-of-service (DDoS) attacks on servers using spoofed Internet Protocol (IP) addresses and reflection amplification in the data plane have resulted in significant disruptions of services and damages. | 近年、多数のインターネットルーティングインシデント(BGP(ボーダーゲートウェイプロトコル)プレフィックスの乗っ取りやルートリークなど)が、サービス拒否(DoS)攻撃、不要なデータトラフィックの迂回、パフォーマンスの低下を引き起こしている。 偽装されたインターネットプロトコル(IP)アドレスを使用するサーバーに対する大規模な分散型サービス拒否(DDoS)攻撃や、データプレーンにおけるリフレクション増幅により、サービスが大幅に中断され、損害が発生している。 |
| This document provides technical guidance and recommendations to improve the security and resilience of Internet routing based on BGP. Technologies recommended in this document for securing Internet routing include Resource Public Key Infrastructure (RPKI), Route Origin Authorization (ROA), ROA-based route origin validation (ROA-ROV), and prefix filtering. Additionally, the technologies recommended for mitigating DDoS attacks focus on the prevention of IP address spoofing using source address validation (SAV) with access control lists (ACLs) and unicast Reverse Path Forwarding (uRPF). Other technologies are also recommended as part of the overall security mechanisms, such as remotely triggered black hole (RTBH) filtering and flow specification (Flowspec). | 本書では、BGPに基づくインターネットルーティングのセキュリティとレジリエンスを改善するための技術的な指針と推奨事項を提示する。インターネットルーティングのセキュリティ確保のために本書で推奨する技術には、リソース公開鍵基盤(RPKI)、ルートオリジン認可(ROA)、ROAに基づくルートオリジン妥当性確認(ROA-ROV)、およびプレフィックスフィルタリングなどがある。さらに、DDoS攻撃の緩和に推奨される技術は、アクセス管理リスト(ACL)とユニキャスト・リバースパス・フォワーディング(uRPF)を用いた送信元アドレスの妥当性確認(SAV)によるIPアドレスのなりすまし防止に重点を置いている。また、リモートトリガー型ブラックホール(RTBH)フィルタリングやフロー仕様(Flowspec)など、その他の技術も総合的なセキュリティ対策の一環として推奨されている。 |
| While this document is intended to guide information security officers and managers of federal enterprise networks, it also applies to the network services of hosting providers (e.g., cloud-based applications and service hosting) and Internet service providers (ISPs) that support federal IT systems. This guidance may also be useful for enterprise and transit network operators and equipment vendors in general. | 本書は、連邦政府の企業ネットワークの情報セキュリティ責任者および管理者の指針となることを目的としているが、連邦政府のITシステムをサポートするホスティングプロバイダ(クラウドベースのアプリケーションやサービスホスティングなど)やインターネットサービスプロバイダ(ISP)のネットワークサービスにも適用される。また、本指針は、エンタープライズおよびトランジットネットワークの運用者や機器ベンダーにも一般的に役立つ可能性がある。 |
| Abstract | 要約 |
| This publication provides guidance on Internet routing security, preventing IP address spoofing, and certain aspects of DDoS detection and mitigation. It particularly focuses on Border Gateway Protocol, which is the routing protocol used to distribute and compute paths between the tens of thousands of autonomous networks that comprise the internet. Technologies recommended in this document for securing BGP routing include Resource Public Key Infrastructure, Route Origin Authorization, ROA-based route origin validation, and prefix filtering. Additionally, technologies recommended for mitigating DDoS attacks focus on preventing IP address spoofing using source address validation with access control lists and unicast Reverse Path Forwarding. Other technologies are also recommended as part of the overall routing security mechanisms, such as remotely triggered black hole filtering and flow specification. | 本書は、インターネットルーティングのセキュリティ、IPアドレススプーフィングの防止、およびDDoS攻撃の検知と緩和の特定の側面に関する指針を提供する。特に、インターネットを構成する何万もの自律ネットワーク間の経路を分配し計算するために使用されるルーティングプロトコルであるボーダーゲートウェイプロトコル(BGP)に焦点を当てている。BGPルーティングのセキュリティ確保のために本書で推奨されている技術には、リソース公開鍵基盤(PKI)、ルートオリジン認可(ROA)、ROAに基づくルートオリジン妥当性確認、およびプレフィックスフィルタリングなどがある。さらに、DDoS攻撃の緩和のために推奨されている技術は、アクセス管理リスト(ACL)とユニキャストRPF(Reverse Path Forwarding)を使用した送信元アドレスの妥当性確認によるIPアドレススプーフィングの防止に重点を置いている。また、ルーティングセキュリティの全体的な仕組みの一部として、リモートトリガーによるブラックホールフィルタリングやフロー指定などの技術も推奨されている。 |
・[PDF] SP.800-189r1.ipd
目次...
| Executive Summary | エグゼクティブサマリー |
| 1. Introduction | 1. 序文 |
| 1.1. What This Guide Covers | 1.1. 本ガイドの対象範囲 |
| 1.2. What This Guide Does Not Cover | 1.2. 本ガイドの対象外 |
| 1.3. Document Structure | 1.3. 文書構成 |
| 1.4. Conventions Used in This Guide | 1.4. 本ガイドで使用される表記法 |
| 2. BGP Vulnerabilities | 2. BGP の脆弱性 |
| 2.1. Unauthorized BGP Originations (Prefix Hijacks) | 2.1. 無許可の BGP 発信(プレフィックスハイジャック |
| 2.2. Unauthorized BGP Update Modification (Path Hijacks) | 2.2. 無許可の BGP 更新変更(パスハイジャック |
| 2.3. 8GP Policy Violations (Route Leaks | 2.3. 8GPポリシー違反(ルートリーク |
| 3. Other Internet Routing Related Vulnerabilities (IP Address Spoofing) | 3. その他のインターネットルーティング関連の脆弱性(IPアドレススプーフィング |
| 3.1. Spoofed Source Addresses | 3.1. 偽装されたソースアドレス |
| 3.2. Reflection Amplification attacks | 3.2. リフレクション増幅攻撃 |
| 4. Improving BGP Security and Resilience - Solutions and Recommendations | 4. BGPのセキュリティとレジリエンスの改善 - ソリューションと推奨事項 |
| 4.1. Registration of Route Objects in Internet Routing Registries | 4.1. インターネットルーティングレジストリにおけるルートオブジェクトの登録 |
| 4.2. Certification of Resources in Resource Public Key Infrastructure | 4.2. リソース公開鍵基盤におけるリソースの認証 |
| 4.3. ROA-based Route Origin Validation (ROA-ROV) | 4.3. ROAに基づく経路発信元の妥当性確認(ROA-ROV) |
| 4.3.1. Forged-Origin Hijacks — How to Minimize Them | 4.3.1. 偽装発信元の乗っ取り - その最小化方法 |
| 4.3.2. General Recommendations Related to RPKI and ROA-ROV | 4.3.2. RPKIおよびROA-ROVに関する一般的な推奨事項 |
| 4.4. Categories of Prefix Filters... | 4.4. プレフィックス・フィルターのカテゴリー... |
| 4.4.1. Unallocated Prefixes | 4.4.1. 未割り当てのプレフィックス |
| 4.4.2. Special Purpose Prefixes | 4.4.2. 特殊目的のプレフィックス |
| 4.4.3. Single-Homed Prefixes | 4.4.3. 単一ホームのプレフィックス |
| 4.4.4. Prefixes that Exceed a Specificity Limit | 4.4.4. 特定の制限を超えるプレフィックス |
| 4.4.5. Default Route | 4.4.5. デフォルトルート |
| 4.4.6. IXP LAN Prefixes | 4.4.6. IXP LAN プレフィックス |
| 4.5. Prefix Filtering for Peers of Different Types | 4.5. 異なるタイプのピアに対するプレフィックスフィルタリング |
| 4.5.1. Prefix filtering with Lateral Peer | 4.5.1. 水平ピアによるプレフィックスフィルタリング |
| 4.5.2. Prefix Filtering with Transit Provider | 4.5.2. トランジットプロバイダによるプレフィックスフィルタリング |
| 4.5.3. Prefix Filtering with Customer... | 4.5.3. 顧客によるプレフィックスフィルタリング... |
| 4.5.4. Prefix Filtering Performed in a Leaf Customer Network | 4.5.4. リーフカスタマーネットワークで実行されるプレフィックスフィルタリング |
| 4.6. Role of RPKI in Prefix Filtering | 4.6. プレフィックスフィルタリングにおけるRPKIの役割 |
| 4.7. AS Path Verification. | 4.7. ASパス検証 |
| 4.7.1. BGPsec Protocol (Emerging/Future) | 4.7.1. BGPsecプロトコル(新興/将来 |
| 4.7.2. ASPA-based AS Path Verification (Emerging/Future) | 4.7.2. ASPAベースのASパス検証(新興/将来 |
| 4.7.3. BGP Roles and OTC Attribute Solution for Route Leaks (Future) | 4.7.3. BGPの役割とルートリークに対するOTC属性ソリューション(将来 |
| 4.8. Route Leak Solution Using BGP Community Tagging | 4.8. BGPコミュニティ・タグを使用したルートリーク・ソリューション |
| 4.9. Checking As Path for Disallowed As Numbers | 4.9. 許可されていないAS番号に対するAsパス確認 |
| 4.10. Generalized TTL Security Mechanism (GTSM) | 4.10. 一般化TTLセキュリティメカニズム(GTSM) |
| 4.11. Default External BGP Route Propagation Behavior without Policies | 4.11. ポリシーなしのデフォルト外部BGPルート伝搬動作 |
| 5. Source Address Validation and DDoS Mitigation | 5. 送信元アドレスの妥当性確認とDDoS緩和 |
| 5.1. Source Address Validation Techniques | 5.1. 送信元アドレスの妥当性確認技術 |
| 5.1.1. SAV Using Access Control Lists | 5.1.1. アクセス管理リスト(ACL)を使用するSAV |
| 5.1.2. SAV Using Strict Unicast Reverse Path Forwarding | 5.1.2. 厳密なユニキャスト・リバースパス・フォワーディングを使用するSAV |
| 5.1.3. SAV Using Feasible-Path Unicast Reverse Path Forwarding | 5.1.3. 実現可能パス・ユニキャスト・リバースパス・フォワーディングを使用するSAV |
| 5.1.4. SAV Using Loose Unicast Reverse Path Forwarding | 5.1.4. 緩やかなユニキャスト・リバースパス・フォワーディングを使用するSAV |
| 5.1.5. SAV Using VRF Table | 5.1.5. VRFテーブルを使用するSAV |
| 5.1.6. SAV Using Enhanced Feasible-Path URPF (Emerging/Future) | 5.1.6. 拡張可能経路パスユニキャストリバースパスフォワーディング(Emerging/Future)を使用するSAV |
| 5.1.7. SAV Using BAR-SAV (Emerging/Future) | 5.1.7. BAR-SAV(Emerging/Future)を使用するSAV |
| 5.1.8. More Effective Mitigation with Combination of Origin Validation and SAV | 5.1.8. オリジン妥当性確認とSAVの組み合わせによるより効果的な緩和 |
| 5.2. SAV Recommendations for Various Types of Networks | 5.2. さまざまなタイプのネットワークに対するSAVの推奨事項 |
| 5.2.1. Customer with Directly Connected Allocated Address Space: Broadband and Wireless Service Providers | 5.2.1. 直接接続された割り当てアドレス空間を持つ顧客:ブロードバンドおよびワイヤレスサービスプロバイダ |
| 5.2.2. Enterprise Border Routers | 5.2.2. エンタープライズ・ボーダ・ルータ |
| 5.2.3. Internet Service Providers | 5.2.3. インターネット・サービス・プロバイダ |
| 5.3. BGP Flow Specification (Flowspec) | 5.3. BGP フロー仕様(Flowspec |
| 6. General: Outsourced Services, Supporting Standards, Open Source, and Measurements | 6. 一般事項:外部委託サービス、標準規格のサポート、オープンソース、および測定 |
| References | 参考文献 |
| Appendix A Consolidated List of Security Recommendations | 附属書 A セキュリティ勧告の統合リスト |
| Appendix B. List of Symbols, Abbreviations, and Acronyms | 附属書 B. 記号、略語、および頭字語のリスト |
| Appendix C. Change Log | 附属書 C. 変更履歴 |
エグゼクティブサマリー...
| Executive Summary | エグゼクティブサマリー |
| There have been numerous security and resilience incidents in recent years involving Border Gateway Protocol (BGP), including prefix hijacks, route leaks, and other forms of misrouting. These incidents include both malicious attacks and accidental misconfigurations that result in the denial of service (DoS), unwanted data traffic detours, and performance degradation [Madory]. Another form of abuse of Internet routing in the data plane is source Internet Protocol (IP) address spoofing, a technique often used in DoS attacks. | 近年、プレフィックスハイジャック、ルートリーク、その他の誤ルーティングなど、ボーダーゲートウェイプロトコル(BGP)に関連するセキュリティおよびレジリエンスのインシデントが数多く発生している。これらのインシデントには、悪意のある攻撃と、サービス拒否(DoS)、不要なデータトラフィックの迂回、パフォーマンスの低下を招く偶発的な誤設定の両方が含まれる [必須]。データプレーンにおけるインターネットルーティングの別の悪用形態は、ソースIP(インターネットプロトコル)アドレススプーフィングであり、DoS攻撃でよく使用される手法である。 |
| This document provides technical guidance and recommendations to improve the security and resilience of Internet routing based on BGP. It primarily focuses on the points of interconnection between enterprise networks or hosted service providers and the public Internet. These are commonly known as “stub” networks (i.e., those networks that only provide connectivity to their end systems) and transit networks (i.e., those networks that serve to interconnect and pass traffic between stub networks and other transit networks), and the points of interconnection between them are often referred to as the “Internet’s edge.” There is usually a contractual relationship between transit networks and the stub networks that they service, and the set of technical procedures and policies defined in that relationship is commonly called the “peering policy.” Many of the recommendations in this document also apply to the points of interconnection between two transit networks, which may vary from those between stub and transit networks. | 本書では、BGPに基づくインターネットルーティングのセキュリティとレジリエンスを改善するための技術的な指針と推奨事項を提供する。本書では、主にエンタープライズネットワークやホスティングサービスプロバイダとパブリックインターネット間の相互接続のポイントに焦点を当てている。これらは一般的に「スタブ」ネットワーク(すなわち、エンドシステムへの接続のみを提供するネットワーク)およびトランジットネットワーク(すなわち、スタブネットワークと他のトランジットネットワーク間の相互接続とトラフィックの転送を行うネットワーク)として知られており、それらの相互接続のポイントはしばしば「インターネットのエッジ」と呼ばれる。トランジットネットワークとそれらがサービスを提供するスタブネットワークの間には通常、契約関係が存在し、その関係において定義される一連の技術手順およびポリシーは一般的に「ピアリングポリシー」と呼ばれる。本書で推奨する多くの内容は、2つのトランジットネットワーク間の相互接続ポイントにも適用されるが、スタブネットワークとトランジットネットワーク間の相互接続ポイントとは異なる場合がある。 |
| These recommendations can reduce the risk of accidental misconfigurations and malicious attacks on the Internet’s BGP routing system and help prevent IP address spoofing and distributed DoS (DDoS) attacks. They primarily cover security and resilience technologies for routers that operate BGP (commonly called BGP routers) but also extend to other systems that support Internet routing security, such as Resource Public Key Infrastructure (RPKI) repositories. | これらの推奨事項は、インターネットのBGPルーティングシステムにおける誤設定や悪意のある攻撃のリスクを低減し、IPアドレススプーフィングや分散型DoS(DDoS)攻撃の防止に役立つ。 主にBGPを運用するルーター(一般的にBGPルーターと呼ばれる)のセキュリティおよびレジリエンシー技術をカバーしているが、RPKI(リソース公開鍵基盤)リポジトリなど、インターネットルーティングセキュリティをサポートする他のシステムにも適用される。 |
| The guidance in this publication should be incorporated into the security plans and operational processes of federal enterprise networks, and applicable recommendations should be incorporated into requirements for federal contracts for hosted application services and Internet transit services. This document also contributes to the ongoing broader efforts by the Federal Government to secure the foundational protocols of the Internet [NCSIP], particularly Internet routing [WH-ONCD][BITAG], with RPKI, Route Origin Authorization (ROA), ROA-based route origin validation (ROA-ROV), and prefix filtering. Additionally, the technologies recommended for mitigating DDoS attacks focus on the prevention of IP address spoofing using source address validation (SAV) with access control lists (ACLs) and unicast Reverse Path Forwarding (uRPF). Other technologies are also recommended as part of the overall security mechanisms, such as remotely triggered black hole (RTBH) filtering and flow specification (Flowspec). | 本書に記載された指針は、連邦エンタープライズネットワークのセキュリティ計画および運用プロセスに組み込むべきであり、また、該当する推奨事項は、ホスティングされたアプリケーションサービスおよびインターネットトランジットサービスに関する連邦契約の要件に組み込むべきである。また、本書は、RPKI、ルートオリジン認可(ROA)、ROAベースのルートオリジン妥当性確認(ROA-ROV)、およびプレフィックスフィルタリングにより、インターネットの基盤プロトコル、特にインターネットルーティング(NCSIP)[WH-ONCD][BITAG]のセキュリティ確保に向けた連邦政府の継続的な広範な取り組みにも貢献する。さらに、DDoS攻撃の緩和に推奨される技術は、アクセス管理リスト(ACL)とユニキャスト・リバースパス・フォワーディング(uRPF)による送信元アドレスの妥当性確認(SAV)を使用したIPアドレス・スプーフィングの防止に重点を置いている。また、リモート・トリガ・ブラックホール(RTBH)フィルタリングやフロー仕様(Flowspec)など、その他の技術も総合的なセキュリティ対策の一部として推奨されている。 |
Comments