Border Gateway Protocol: Най-голямата уязвимост на мрежата от всички?

Автор: Robert Simon
Дата На Създаване: 24 Юни 2021
Дата На Актуализиране: 24 Юни 2024
Anonim
ПЕРВЫЕ ПОСЛЕВОЕННЫЕ ГОДЫ. ВОСТОЧНАЯ ПРУССИЯ. КАЛИНИНГРАД. ИСТОРИИ ПРОФЕССОРА. КОП ПО ВОЙНЕ
Видео: ПЕРВЫЕ ПОСЛЕВОЕННЫЕ ГОДЫ. ВОСТОЧНАЯ ПРУССИЯ. КАЛИНИНГРАД. ИСТОРИИ ПРОФЕССОРА. КОП ПО ВОЙНЕ

Съдържание


За вкъщи:

Когато BGP беше разработен, мрежовата сигурност не беше проблем. Ето защо проблемът с BGP е и неговото най-голямо предимство: неговата простота.

По отношение на уязвимостите в сигурността, много е направено от атаки на препълване на буфер, разпределено отказване на атаки на услуги и Wi-Fi нахлувания. Въпреки че тези видове атаки са привлекли достатъчно количество внимание в по-популярните ИТ списания, блогове и уебсайтове, техният сексапил често служи за засенчване на област в ИТ индустрията, която е може би основата на всички интернет комуникации: Border Gateway Protocol (BGP). Както се оказва, този прост протокол е отворен за експлоатация - и да се опита да го осигури не би било малко начинание. (За да научите повече за технологичните заплахи, вижте Зловреден софтуер: червеи, троянци и ботове, о, мой!)

Какво е BGP?

Border Gateway Protocol е протокол за външен шлюз, който основно маршрутизира трафика от една автономна система (AS) към друга автономна система. В този смисъл "автономна система" просто се отнася до всеки домейн, над който доставчик на интернет услуги (ISP) има автономия. Така че, ако крайният потребител разчита на AT&T като своя интернет доставчик, той ще принадлежи към една от автономните системи на AT&T. Конвенцията за именуване за даден AS най-вероятно ще изглежда като AS7018 или AS7132.


BGP разчита на TCP / IP за поддържане на връзки между два или повече автономни системни рутера. Той придоби широка популярност през 90-те години на миналия век, когато интернет растеше с експоненциални темпове. Интернет доставчиците се нуждаеха от прост начин за насочване на трафика към възли в рамките на други автономни системи, а простотата на BGP му позволи бързо да се превърне в фактически стандарт при маршрутизиране между домейни. Така че, когато крайният потребител комуникира с някой, който използва различен интернет доставчик, тези комуникации ще преминат минимум два рутера с активиран BGP.

Илюстрация на общ BGP сценарий може да хвърли малко светлина върху действителната механика на BGP. Да предположим, че два доставчика на интернет услуги сключват споразумение за маршрутизиране на трафика към и от съответните им автономни системи. След като цялата документация е подписана и договорите са одобрени от съответните им законни дейци, действителните съобщения се предават на мрежовите администратори. BGP-активиран рутер в AS1 инициира комуникация с BGP-активиран рутер в AS2. Връзката се инициира и поддържа през TCP / IP порт 179, и тъй като това е първоначална връзка, и двата маршрутизатора обменят маршрутни таблици един с друг.


В рамките на таблиците за маршрутизиране се поддържат пътища към всеки съществуващ възел в даден AS. Ако не е наличен пълен път, се поддържа маршрут до съответната подавтономна система. След като цялата обменна информация е обменена по време на инициализацията, се казва, че мрежата е конвергирана и всяка бъдеща комуникация ще включва актуализации и са все още живи комуникации.

Доста просто нали? То е. И точно в това е проблемът, защото именно тази негова простота доведе до някои много смущаващи уязвимости.

Защо трябва да ми пука?

Всичко това е добре и добре, но как това се отразява на някой, който използва компютъра си за игра на видео игри и гледане на Netflix? Едно нещо, което всеки краен потребител трябва да има предвид, е, че интернет е много податлив на ефекта на доминото и BGP играе голяма роля в това. Ако се прави правилно, хакването на един BGP рутер може да доведе до отказ на услуга за цяла автономна система.

Нека да кажем, че префиксът за IP адрес за дадена автономна система е 10.0.x.x. BGP-активираният рутер в рамките на тази AS рекламира този префикс на други рутери с активиран BGP в рамките на други автономни системи. Това обикновено е прозрачно за хилядите крайни потребители в даден AS, тъй като повечето домашни потребители често са изолирани от подобренията на ниво ISP. Слънцето грее, птиците пеят и интернет трафикът бръмчи заедно. Качеството на картините в Netflix, YouTube и Hulu е положително, а дигиталният живот никога не е бил по-добър.

Без грешки, без стрес - Вашето стъпка по стъпка ръководство за създаване на софтуер, променящ живота, без да разрушава живота ви

Не можете да подобрите уменията си за програмиране, когато никой не се интересува от качеството на софтуера.

Нека сега да кажем, че зловещ индивид в друга автономна система започва да рекламира собствената си мрежа като собственик на префикса 10.0.x.x IP адрес. За да влоши нещата, този злодей на мрежата рекламира, че адресното му пространство 10.0.x.x има по-ниска цена от законния собственик на посочения префикс. (Под цена имам предвид по-малко хмел, по-голяма производителност, по-малко задръствания и др. Финансите са без значение в този сценарий). Изведнъж целият трафик, който е свързан за мрежата на крайния потребител, изведнъж се пренасочва към друга мрежа и просто не е цяла партида, която ISP може да направи, за да предотврати това.

Сценарий, много подобен на току-що споменатия, се случи на 8 април 2010 г., когато интернет доставчик в Китай рекламира нещо по линия на 40 000 фалшиви маршрути. За цели 18 минути несметни количества интернет трафик бяха пренасочени към китайската автономна система AS23724. В идеален свят целият този пренасочен трафик би бил в криптиран VPN тунел, като по този начин прави голяма част от трафика безполезен за прихващащата страна, но е безопасно да се каже, че това не е идеален свят. (Научете повече за VPN във виртуалната частна мрежа: The Branch Office Solution.)

Бъдещето на BGP

Проблемът с BGP е и неговото най-голямо предимство: неговата простота. Когато BGP започна наистина да се хваща сред различните интернет доставчици по целия свят, не се обсъждаше много концепции като конфиденциалност, автентичност или цялостна сигурност. Мрежовите администратори просто искаха да общуват помежду си. Работната група по интернет инженеринг продължава да провежда проучвания за решения за много уязвимости в BGP, но опитът да се осигури децентрализирано образувание като интернет не е малко начинание и милионите хора, които понастоящем използват интернет, може да трябва просто да толерират случайна експлоатация на BGP.