RFC: 3013
Оригинал: Recommended Internet Service Provider Security Services and Procedures
Категория: Лучший современный опыт
Дата публикации:
Автор:
Перевод: Николай Малых

RFC 3013, Страница 6 из 11

4. Сетевая инфраструктура

ISP отвечают за поддержку сетевой инфраструктуры своей части Internet, чтобы она:

  • обеспечивала относительную устойчивость к известным уязвимостям безопасности;
  • не позволяла атакующим легко перехватывать данные для их использования в последующих атаках.

4.1. Поддержка регистрационных данных

ISP обычно несут ответственность за поддержку данных, хранящихся в глобальных репозиториях типа Реестра Маршрутизации Internet (IRR) и базах данных APNIC, ARIN и RIPE. Обновление таких данных следует выполнять лишь с использованием строгой аутентификации. ISP следует регистрировать адресное пространство, выделяемое для заказчиков и поддерживать публично доступную информацию об этом распределении с указанием соответствующей контактной информации.

4.2. Инфраструктура маршрутизации

Способность ISP маршрутизировать трафик корректному адресату может зависеть от политики маршрутизации, заданной в реестрах маршрутизации [RFC1786]. В таких случаях (если поддерживается реестр) следует обеспечить корректность поддерживаемой информации и возможность ее обновления лишь с применением строгой аутентификации. Полномочия на обновление информации также следует ограничить.

При выборе доступных маршрутов к адресату следует принимать во внимание вопросы доверия к получаемым анонсам маршрутов. В прошлом были известны случаи, когда в результате применения ложных анонсов трафик уходил в «черные дыры» или перехватывался.

Для партнеров BGP следует использовать аутентификацию [RFC2385].

2007 - 2017 © Русские переводы RFC, IETF, ISOC.