Implementation and Evaluation of BGPsec for the FRRouting Suite

Abstract

Das Internet stützt sich auf BGP, jedoch ist dieses Protokoll verwundbar für Angriffe. Informationen wie die Quelle von annoncierten IP-Präfixen oder ihr genommener Pfad, können von Dritten übernommen oder verändert werden. Dies kann sich negativ auf den Datenfluss eines Netzwerkes auswirken. Um diese Informationen zu authetifizieren gibt es zwei Ansätze: Route Origin Validierung und AS Pfad Validierung. Während Route Origin Validierung bereits erfolgreich verwendet wird, gibt es für AS Pfad Validierung, in Form von BGPsec, noch kaum Implementierungen. In dieser Arbeit wird eine zweiteilige BGPsec Implementierung bereitgestellt. Ein Teil findet in der Open-Source Bibliothek RTRlib statt, der andere Teil wird in die Routingsoftware FRR integiert, welche ebenfalls Open-Source ist. Auf diese Weise bleiben RTRlib und FRR unabhängig voneinander und können leichter ausgetauscht werden, falls nötig. Zusätzlich zur Implementation wird die Implementierung evaluiert und mit der Referenzimplementierung, BGP-SRx, verglichen. Die Richtigkeit der Implementierung ist durch das Kommunizieren mit der Referenzimplementierung bestätigt, indem in verschiedenen Szenarien gültige und fehlerhafte Nachrichten ausgetauscht wurden. Resultate der Leistungsmessung zeigen, dass BGPsec-Datenstrukturen in BGP-SRx 3 bis 8x so viel Speicher verbrauchen wie in FRR. Validierung in BGP-SRx hingegen verläuft 2x so schnell wie in FRR, signieren ist 3x so schnell. Die Skalierung verhält sich wie erwartet linear für Speicherverbrauch, Validierungen und Signaturen. Verglichen zu normalem BGP, müssen BGPsec Updates zudem an jeden Kommunikationspartner und für jedes IP-Präfix einzeln gesendet werden. Dies wirkt sich zusätzlich negativ auf die Leistung aus. Mit dem Bereitstellen einer BGPsec Implementierung für eine aufstrebende Routingsoftware erhöhen sich die Chancen, dass BGPsec in Zukunft ausgerollt wird.

The Internet relies heavily on BGP, however this protocol is vulnerable to attacks. Information such as the announced IP-prefix or the path the announcement took can be hijacked or manipulated by third parties. This can have a negative impact on the data traffic of a network. To authenticate these information there are two approaches: route origin validation and AS path validation. While route origin validation was successfully deployed, there are still hardly any implementations for AS path validation in the form of BGPsec. This work aims to provide a twofold BGPsec implementation. One part of it is integrated into the open-source library RTRlib, the other part is integrated into the routing suite FRR, whick is likewise open-source. This way, both RTRlib and FRR stay independent and can exchange one another, if needed. In conjunction with the implementation, its performance is evaluated and compared to the reference implementation, BGP-SRx. The correctness of the implementation is verified in various scenarios by peering with BGP-SRx and processing valid and malformed messages. Performance results show that BGPsec structures in BGP-SRx take 3 to 8x the memory compared to FRR. However, validation in BGP-SRx performs 2x faster, signing even 3x faster. As expected, it scales linear for memory consumption and validation and signing time. Compared to BGP, BGPsec updates must be send individually for each peer and each prefix. This imposes another negative impact on the performance. Nevertheless, having provided another BGPsec implementation to a thriving routing suite chances increase that BGPsec receives deployment in the future.