Border Gateway Protocol: najväčšia zraniteľnosť siete zo všetkých?

Autor: Robert Simon
Dátum Stvorenia: 24 V Júni 2021
Dátum Aktualizácie: 24 V Júni 2024
Anonim
Border Gateway Protocol: najväčšia zraniteľnosť siete zo všetkých? - Technológie
Border Gateway Protocol: najväčšia zraniteľnosť siete zo všetkých? - Technológie

Obsah


Zobrať:

Pri vývoji BGP nebola bezpečnosť siete problémom. Preto je problém s BGP tiež jeho najväčšou výhodou: jeho jednoduchosť.

Pokiaľ ide o bezpečnostné chyby, urobilo sa veľa útokov na pretečenie vyrovnávacej pamäte, distribuovaných útokov odmietnutia služby a narušenia Wi-Fi. Aj keď tieto typy útokov získali značnú pozornosť v populárnejších IT časopisoch, blogoch a webových stránkach, ich sexuálne pôsobenie často slúži na zatienenie oblasti v rámci IT priemyslu, ktorá je pravdepodobne chrbticou všetkej internetovej komunikácie: protokol Border Gateway Protocol (BGP). Ukázalo sa, že tento jednoduchý protokol je otvorený na zneužitie - a jeho pokus o zabezpečenie by nebol malým podnikom. (Ak sa chcete dozvedieť viac o technologických hrozbách, pozrite si časť Škodlivý softvér: Worms, Trójske kone a Bots, Oh My!)


Čo je to BGP?

Protokol Border Gateway Protocol je protokol externej brány, ktorý v podstate smeruje prenos z jedného autonómneho systému (AS) do iného autonómneho systému. V tejto súvislosti sa „autonómny systém“ jednoducho vzťahuje na každú doménu, v ktorej má poskytovateľ internetových služieb samostatnosť. Ak sa koncový používateľ spolieha na AT&T ako na svojho ISP, bude patriť k jednému z autonómnych systémov AT&T. Konvencia pomenovávania daného AS bude s najväčšou pravdepodobnosťou vyzerať podobne ako AS7018 alebo AS7132.

BGP sa spolieha na TCP / IP na udržiavanie spojení medzi dvoma alebo viacerými autonómnymi smerovačmi. Získala veľkú popularitu v 90. rokoch, keď internet rástol exponenciálnym tempom. Poskytovatelia internetových služieb potrebovali jednoduchý spôsob smerovania prenosu do uzlov v rámci iných autonómnych systémov a jednoduchosť BGP mu umožnila rýchlo sa stať de facto štandardom v smerovaní medzi doménami. Keď koncový používateľ komunikuje s niekým, kto používa iného poskytovateľa internetových služieb, táto komunikácia prejde minimálne dva smerovače s povoleným BGP.


Ilustrácia bežného scenára BGP môže objasniť skutočnú mechaniku BGP. Predpokladajme, že dvaja poskytovatelia internetových služieb uzavrú dohodu o smerovaní prenosu do a zo svojich autonómnych systémov. Po podpísaní všetkých dokladov a schválení zmlúv ich príslušnými zákonnými bíglmi sa skutočná komunikácia odovzdá správcom siete. Smerovač s povoleným BGP v AS1 iniciuje komunikáciu s smerovačom s povoleným BGP v AS2. Spojenie je iniciované a udržiavané cez port TCP / IP 179 a keďže ide o počiatočné pripojenie, obidva smerovače si navzájom vymieňajú smerovacie tabuľky.

V smerovacích tabuľkách sa udržiavajú cesty do každého existujúceho uzla v rámci daného AS. Ak nie je k dispozícii úplná cesta, trasa k príslušnému autonómnemu systému sa zachová. Po výmene všetkých dôležitých informácií počas inicializácie sa hovorí, že sieť je konvergovaná a akákoľvek budúca komunikácia bude zahŕňať aktualizácie a stále komunikácia.

Docela jednoduché, nie? To je. A to je presne ten problém, pretože práve táto jednoduchosť viedla k niektorým veľmi znepokojujúcim zraniteľnostiam.

Prečo by som sa mal starať?

To je všetko v poriadku a dobré, ale ako to ovplyvní niekoho, kto používa svoj počítač na hranie videohier a sledovanie Netflixu? Jedna vec, ktorú by mal mať na pamäti každý koncový užívateľ, je skutočnosť, že internet je veľmi citlivý na dominový efekt, a preto v ňom zohráva veľkú úlohu BGP. Ak sa to urobí správne, hackovanie jedného smerovača BGP by mohlo mať za následok odmietnutie služby pre celý autonómny systém.

Povedzme, že predpona IP adresy pre daný autonómny systém je 10,0.x.x. Smerovač s povoleným BGP v tomto AS inzeruje túto predponu pre ostatné smerovače s povoleným BGP v iných autonómnych systémoch. Toto je zvyčajne transparentné pre tisíce koncových používateľov v rámci daného AS, pretože väčšina domácich používateľov je často izolovaná od diania na úrovni ISP. Slnko svieti, vtáky spievajú a internetový prenos bzučí. Kvalita obrázkov Netflix, YouTube a Hulu je pozitívne nedotknutá a digitálny život nebol nikdy lepší.

Žiadne chyby, žiadny stres - Váš sprievodca krok za krokom k vytvoreniu softvéru na zmenu života bez zničenia vášho života

Svoje programovacie schopnosti si nemôžete vylepšiť, keď sa nikto nestará o kvalitu softvéru.

Teraz povedzme, že nekalý jednotlivec v inom autonómnom systéme začína inzerovať svoju vlastnú sieť ako vlastník predpony adresy IP 10.0.x.x. Čo je ešte horšie, táto sieťová zlodejka inzeruje, že jeho priestor s adresou 10.0.x.x má nižšie náklady ako oprávnený vlastník uvedenej predpony. (Pod pojmom náklady mám na mysli menej chmeľu, vyššiu priepustnosť, menšie preťaženie atď. V tomto scenári nie sú finančné prostriedky relevantné). Zrazu je všetka prevádzka, ktorá bola smerovaná do siete koncového používateľa, zrazu presmerovaná do inej siete, a ISP to nemôže urobiť len preto, aby tomu zabránil.

Scenár veľmi podobný tomu, ktorý bol práve spomenutý, sa vyskytol 8. apríla 2010, keď poskytovateľ internetových služieb v Číne inzeroval niečo v súlade so 40 000 falošných trás. Celých 18 minút bolo neobsadené množstvo internetového prenosu presmerované do čínskeho autonómneho systému AS23724. V ideálnom svete by všetka táto nesprávne smerovaná prevádzka bola vo vnútri šifrovaného tunela VPN, čím by sa väčšia časť premávky stala zbytočnou pre odpočúvajúcu stranu, ale je možné povedať, že to nie je ideálny svet. (Viac informácií o VPN vo virtuálnej súkromnej sieti: Riešenie pobočky.)

Budúcnosť BGP

Problém s BGP je tiež jeho najväčšou výhodou: jeho jednoduchosť. Keď sa BGP skutočne začala zaujímať medzi rôznymi poskytovateľmi internetových služieb po celom svete, príliš sa nepremýšľalo o pojmoch ako dôvernosť, autentickosť alebo celková bezpečnosť. Správcovia siete jednoducho chceli komunikovať medzi sebou. Pracovná skupina pre internetové inžinierstvo pokračuje v štúdiách riešení mnohých zraniteľností v rámci BGP, ale pokus o zabezpečenie decentralizovaného subjektu, akým je napríklad internet, nie je malým podnikom a milióny ľudí, ktorí v súčasnosti internet používajú, možno budú musieť jednoducho tolerovať príležitostné využívanie BGP.