Протокол кордону шлюзу: найбільша вразливість мережі?

Автор: Robert Simon
Дата Створення: 24 Червень 2021
Дата Оновлення: 24 Червень 2024
Anonim
Протокол кордону шлюзу: найбільша вразливість мережі? - Технологія
Протокол кордону шлюзу: найбільша вразливість мережі? - Технологія

Зміст


Винос:

Коли BGP розроблявся, мережева безпека не була проблемою. Ось чому проблема з BGP також є його найбільшою перевагою: його простота.

Що стосується вразливості безпеки, то багато зроблено з атак переповнення буфера, розподілених атак на відмову в обслуговуванні та вторгнень у Wi-Fi.Незважаючи на те, що ці типи нападів привернули багато уваги в більш популярних ІТ-журналах, блогах та веб-сайтах, їх сексапіл часто служив затьмаренням області в ІТ-індустрії, яка, можливо, є основою всіх інтернет-комунікацій: Протокол прикордонного шлюзу (BGP). Як виявляється, цей простий протокол відкритий для експлуатації - і намагатися його забезпечити не було б малим завданням. (Щоб дізнатися більше про технологічні загрози, див. Зловмисне програмне забезпечення: черв'яки, трояни та боти, о, моє!)

Що таке BGP?

Протокол прикордонного шлюзу - це протокол зовнішнього шлюзу, який в основному спрямовує трафік з однієї автономної системи (AS) в іншу автономну систему. З цього приводу "автономна система" просто посилається на будь-який домен, над яким Інтернет-провайдер (ISP) має автономію. Отже, якщо кінцевий користувач покладається на AT&T як свій провайдер, він буде належати до однієї з автономних систем AT&T. Конвенція іменування для даного AS, швидше за все, буде виглядати приблизно як AS7018 або AS7132.


BGP покладається на TCP / IP для підтримки зв'язку між двома або більше автономними системними маршрутизаторами. Широку популярність вона отримала протягом 90-х років, коли Інтернет зростав експоненційними темпами. Інтернет-провайдерам потрібен простий спосіб спрямування трафіку до вузлів в інших автономних системах, а простота BGP дозволила йому швидко стати фактичним стандартом у міждоменній маршрутизації. Отже, коли кінцевий користувач спілкується з тим, хто використовує інший Інтернет-провайдер, ці комунікації пройдуть мінімум два маршрутизатори з підтримкою BGP.

Ілюстрація загального сценарію BGP може пролити деяке світло на фактичну механіку BGP. Припустимо, що два Інтернет-провайдери укладають угоду про направлення трафіку до відповідних автономних систем та з них. Після підписання всієї документації та затвердження договорів їхніми юридичними представниками, фактичні повідомлення передаються адміністраторам мережі. Маршрутизатор з підтримкою BGP в AS1 ініціює зв'язок з маршрутизатором, що підтримує BGP, в AS2. З'єднання ініціюється та підтримується через порт TCP / IP 179, і оскільки це початкове з'єднання, обидва маршрутизатори обмінюються таблицями маршрутів один з одним.


У межах таблиць маршрутизації підтримуються шляхи до кожного існуючого вузла в межах заданої АС. Якщо повний шлях недоступний, зберігається маршрут до відповідної субавтономної системи. Після обміну всією відповідною інформацією під час ініціалізації мережу, як повідомляється, конвергують, і будь-яка майбутня комунікація буде включати в себе оновлення та постійні комунікації.

Досить просто, чи не так? Це є. Саме в цьому проблема, адже саме ця її простота призвела до деяких дуже тривожних вразливих місць.

Чому я повинен дбати?

Це все добре і добре, але як це впливає на того, хто використовує свій комп’ютер для гри у відеоігри та перегляду Netflix? Одне, що повинен пам’ятати кожен кінцевий користувач, це те, що Інтернет дуже сприйнятливий до ефекту доміно, і BGP відіграє велику роль у цьому. Якщо зробити все правильно, злом одного маршрутизатора BGP може призвести до відмови в сервісі для всієї автономної системи.

Скажімо, префікс IP-адреси для даної автономної системи становить 10.0.x.x. Маршрутизатор з підтримкою BGP в рамках цієї AS рекламує цей префікс іншим маршрутизаторам, що підтримуються BGP, в інших автономних системах. Це, як правило, прозоро для тисяч кінцевих користувачів в межах даної АС, оскільки більшість домашніх користувачів часто ізолюються від дій на рівні провайдера. Сонце світить, птахи співають, а інтернет-трафік гуде. Якість зображень Netflix, YouTube та Hulu є позитивною, а цифрове життя ніколи не було кращим.

Ні помилок, ні стресу - покроковий посібник зі створення програмного забезпечення, що змінює життя, не руйнуючи ваше життя

Ви не можете покращити свої навички програмування, коли ніхто не піклується про якість програмного забезпечення.

Тепер скажімо, що підступна особа в іншій автономній системі починає рекламувати власну мережу як власник префікса IP-адреси 10.0.x.x. Що ще гірше, цей злодій мережі рекламує, що його адресний простір 10.0.x.x має меншу вартість, ніж законний власник вказаного префікса. (Під вартістю я маю на увазі меншу кількість стрибків, більше пропускної здатності, менше заторів тощо. Фінанси у цьому сценарії не мають значення). І раптом увесь трафік, який був прив’язаний до мережі кінцевого користувача, раптово перенаправляється в іншу мережу, і провайдер може зробити це чимало, щоб запобігти цьому.

Сценарій, дуже схожий на щойно згаданий, стався 8 квітня 2010 року, коли Інтернет-провайдер у Китаї рекламував щось у напрямку 40 000 фіктивних маршрутів. Протягом 18 хвилин нерозбірливі обсяги інтернет-трафіку були перенаправлені на автономну систему Китаю AS23724. В ідеальному світі весь цей неправильно спрямований трафік знаходився б у зашифрованому тунелі VPN, тим самим зробивши велику частину трафіку непридатною для перехоплюючої сторони, але з упевненістю можна сказати, що це не ідеальний світ. (Дізнайтеся більше про VPN у віртуальній приватній мережі: рішення відділення.)

Майбутнє BGP

Проблема з BGP - це також його найбільша перевага: його простота. Коли BGP почав по-справжньому завойовувати серед різних Інтернет-провайдерів по всьому світу, не було дуже багато думок в таких поняттях, як конфіденційність, справжність або загальна безпека. Адміністратори мережі просто хотіли спілкуватися один з одним. Спеціалізована група з питань Інтернет-інженерії продовжує проводити дослідження щодо вирішення багатьох вразливих місць в BGP, але спроба забезпечити децентралізовану організацію, таку як Інтернет, - це не мале завдання, і мільйонам людей, які зараз користуються Інтернетом, можливо, доведеться просто терпіти епізодична експлуатація BGP.