s
play

S ecuring I nternet Marco Chiesa Universit catholiquede - PowerPoint PPT Presentation

S ecuring I nternet Marco Chiesa Universit catholiquede Louvain X e change KTH Royal Institute of Technology P oints joint work with A gainst Joint work with: Daniel


  1. S ecuring I nternet Marco ¡Chiesa Université catholiquede ¡Louvain X e ¡ ¡ ¡ ¡ ¡change KTH ¡Royal ¡Institute ¡of ¡Technology P oints joint ¡work ¡with A gainst Joint ¡work ¡with: Daniel ¡Demmler C urious Marco ¡Canini Michael ¡Schapira K onloo ers Thomas ¡Schneider

  2. More ¡path ¡diversity, ¡more ¡dilemmas: which ¡path ¡to ¡choose? Internet ¡topology ? • increasingly ¡flatter • higher ¡connectivity • rise ¡of ¡Internet ¡eXchange Points! 2

  3. More ¡path ¡diversity, ¡more ¡dilemmas: which ¡path ¡to ¡choose? Internet ¡topology Communication ¡requirements The ¡other ¡ lane ¡was ¡ • increasingly ¡flatter • high ¡bandwidth faster! • higher ¡connectivity • low ¡latency • rise ¡of ¡Internet ¡eXchange Points! • packet ¡loss 3

  4. The ¡rise ¡of ¡Internet ¡eXchange Points ¡(IXPs) Crossroads ¡of ¡Internet ¡traffic: IXP • 600+ ¡members • 200K ¡IPv4 ¡prefixes A ¡physical interconnection • >6 ¡Tbps peak ¡traffic network Transit ¡ Enterprise provider Routing ¡services ¡offered Content ¡ IXP ¡Fabric Cloud ¡ DDoS blackholing • provider provider route ¡validation • Route ¡dispatching • …through ¡Route ¡Servers 4

  5. Route ¡dispatching ¡at ¡today’s ¡IXPs To ¡whom ¡a ¡route is ¡announced members’ ¡ members’ ¡ members members’ ¡ announced ¡ export best routes routes policies IXP Route ¡Server 5

  6. Route ¡dispatching ¡at ¡today’s ¡IXPs Two ¡severe issues: members’ ¡ members’ ¡ members 1. Suboptimal ¡route ¡selection members’ ¡ announced ¡ export best routes routes policies 2. Privacy ¡of ¡routing ¡policies IXP Route ¡Server 6

  7. Issue #1: ¡suboptimal ¡route ¡selection Two ¡severe issues: members’ ¡ members’ ¡ members 1. Suboptimal ¡route ¡selection members’ ¡ announced ¡ export best routes routes policies 1. ¡Suboptimal ¡route ¡selection: IXP • export ¡ only one ¡route Route ¡Server • unique ¡ global ¡ranking! 7

  8. Issue #1: ¡suboptimal ¡route ¡selection -­‑ ranking ¡of ¡available ¡routes -­‑ filter ¡route ¡based ¡on ¡ traversed ¡networks Two ¡severe issues: wanted : members’ ¡ members’ ¡ members’ ¡ members 1. Suboptimal ¡route ¡selection members’ ¡ announced ¡ export import best routes routes policies policies 1. ¡Suboptimal ¡route ¡selection: IXP • export ¡ only one ¡route Route ¡Server • unique ¡ global ¡ranking! 8

  9. Issue ¡#1: ¡suboptimal ¡route ¡selection • limited information ¡on ¡ route ¡characteristics 9

  10. Issue ¡#1: ¡suboptimal ¡route ¡selection • limited information ¡on ¡ route ¡characteristics 10

  11. Issue ¡#1: ¡suboptimal ¡route ¡selection James ¡Quinn, ¡“Being ¡Open: ¡How ¡Facebook ¡Got ¡Its ¡Edge”, ¡RIPE ¡2016 • limited information ¡on ¡ route ¡characteristics Bikash Koley, ¡“Networking ¡at ¡Google”, ¡ BTE ¡2014 11

  12. Issue #1: ¡suboptimal ¡route ¡selection Two ¡severe issues: wanted : members’ ¡ members’ ¡ members’ ¡ members 1. Suboptimal ¡route ¡selection members’ ¡ announced ¡ export import best routes routes policies policies 2. Privacy ¡of ¡routing ¡policies 1. ¡Suboptimal ¡route ¡selection: IXP • export ¡ only one ¡route Route ¡Server • use ¡a ¡ global ¡ranking! • limited information ¡on ¡ route ¡characteristics 12

  13. Issue #1: ¡suboptimal ¡route ¡selection Two ¡severe issues: wanted : members’ ¡ members’ ¡ members’ ¡ members 1. Suboptimal ¡route ¡selection members’ ¡ announced ¡ export import best routes routes policies policies 2. Privacy ¡of ¡routing ¡policies 1. ¡Suboptimal ¡route ¡selection: IXP • export ¡ only one ¡route Route ¡Server • use ¡a ¡ global ¡ranking! • limited information ¡on ¡ route ¡characteristics e.g., ¡port ¡utilization wanted : ¡IXP ¡ performance ¡ 13 information

  14. Issue #2: ¡privacy ¡of ¡routing ¡policies Two ¡severe issues: wanted : members’ ¡ members’ ¡ members’ ¡ members 1. Suboptimal ¡route ¡selection members’ ¡ announced ¡ export import best routes routes policies policies 2. Privacy ¡of ¡routing ¡policies 2. ¡Privacy ¡of ¡routing ¡policies: • To ¡make ¡use ¡of ¡RSes, ¡ IXP Route ¡Server members ¡ disclose their ¡ routing ¡policies wanted : ¡IXP ¡ performance ¡ 14 information

  15. Survey ¡on ¡Route ¡Server ¡usage ¡at ¡IXPs (NANOG, ¡RIPE, ¡IP ¡space ¡mailing ¡lists) ¡-­‑ 117 ¡responses • almost ¡ all ¡surveyed ¡networks ¡connect ¡to ¡an ¡IXP and ¡many ¡of ¡them ¡use ¡RS ¡services ¡(at ¡ least ¡for ¡some ¡of ¡their ¡traffic) • four ¡main ¡concerns ¡for ¡RS ¡usage: ¡ no ¡control ¡over ¡best ¡route -­‑ lack ¡of ¡route ¡visibility – privacy -­‑ reliability • 1 ¡of ¡every ¡4 ¡respondents ¡have ¡ privacy ¡concerns ¡ about ¡ export ¡policies ¡ • 50% ¡of ¡respondents ¡consider ¡their ¡ import local ¡preferences over ¡routes ¡to ¡be ¡ private • 60% ¡of ¡respondents ¡consider ¡their ¡ inbound ¡port ¡utilization ¡at ¡the ¡IXP ¡ to ¡be ¡ confidential ¡ • our ¡data ¡analysis ¡at ¡a ¡large ¡IXP ¡ corroborates these ¡findings ¡ à low ¡RS ¡usage 15

  16. IXP ¡Route ¡Server ¡requirements R1: ¡Rich ¡routing ¡policy ¡ expressiveness Export ¡policy: announce ¡to ¡C • arbitrary ¡ export policies Member ¡C Member ¡A IXP dst=111.0.0.0/8 IXP ¡Fabric Member ¡D Member ¡B Export ¡policy: 16 announce ¡to ¡C ¡and ¡D

  17. IXP ¡Route ¡Server ¡requirements R1: ¡Rich ¡routing ¡policy ¡ expressiveness Export ¡policy: Import policy: announce ¡to ¡C No ¡preference • arbitrary ¡ export policies ¡ arbitrary ¡ import policies (BGP ¡compatible) ¡ Member ¡C Member ¡A IXP dst=111.0.0.0/8 IXP ¡Fabric Member ¡D Member ¡B Export ¡policy: Import policy: 17 announce ¡to ¡C ¡and ¡D Prefer ¡A ¡over ¡B

  18. IXP ¡Route ¡Server ¡requirements R1: ¡Rich ¡routing ¡policy ¡ expressiveness Export ¡policy: Import policy: announce ¡to ¡C No ¡preference • arbitrary ¡ export policies ¡ IXP reccomendation: arbitrary ¡ import policies Port ¡B ¡is ¡overly ¡ (BGP ¡compatible) ¡ utilized!! Member ¡C Member ¡A R2: ¡Performance-­‑driven • IXP reccomendations IXP dst=111.0.0.0/8 IXP ¡Fabric Member ¡D Member ¡B Export ¡policy: Import policy: 18 announce ¡to ¡C ¡and ¡D Prefer ¡A ¡over ¡B

  19. IXP ¡Route ¡Server ¡requirements R1: ¡Rich ¡routing ¡policy ¡ expressiveness Export ¡policy: Import policy: announce ¡to ¡C No ¡preference • arbitrary ¡ export policies ¡ IXP reccomendation: arbitrary ¡ import policies Port ¡B ¡is ¡overly ¡ (BGP ¡compatible) ¡ utilized!! Member ¡C Member ¡A R2: ¡Performance-­‑driven • IXP reccomendations IXP R3: ¡Efficiency dst=111.0.0.0/8 • fast ¡reaction ¡to ¡failures, ¡etc. IXP ¡Fabric Member ¡D Member ¡B Export ¡policy: Import policy: 19 announce ¡to ¡C ¡and ¡D Prefer ¡A ¡over ¡B

  20. IXP ¡Route ¡Server ¡requirements R1: ¡Rich ¡routing ¡policy ¡ expressiveness Export ¡policy: Import policy: announce ¡to ¡C No ¡preference • arbitrary ¡ export policies ¡ IXP reccomendation: arbitrary ¡ import policies ¡ Port ¡B ¡is ¡overly ¡ (BGP ¡compatible) ¡ utilized!! Member ¡C Member ¡A R2: ¡Performance-­‑driven • IXP reccomendations IXP R3: ¡Efficiency dst=111.0.0.0/8 • fast ¡reaction ¡to ¡failures, ¡etc. R4: ¡Privacy IXP ¡Fabric • routing ¡policies ¡should ¡not ¡ Member ¡D Member ¡B be ¡disclosed ¡to ¡third ¡parties Export ¡policy: Import policy: 20 announce ¡to ¡C ¡and ¡D Prefer ¡A ¡over ¡B

  21. Limitations ¡recap With ¡a ¡ SIXPACK Route ¡Server IXP Route Server Member ¡A Member ¡C IXP ¡Fabric Member ¡D Member ¡B BGP ¡sessions Arbitrary export, ¡ no import ¡policies R1: ¡Expressiveness no IXP ¡information ¡enabled R2: ¡Performance-­‑ driven R3: ¡Efficiency R4: ¡Privacy 21

  22. Our ¡contribution: ¡SIXPACK With ¡a ¡ SIXPACK Route ¡Server IXP Route Server Member ¡A Member ¡C Member ¡D IXP ¡Fabric Member ¡B BGP ¡sessions R1: ¡Expressiveness R2: ¡Performance-­‑ driven R3: ¡Efficiency R4: ¡Privacy 22

Recommend


More recommend