Border Gateway Protocol: Az egyik legnagyobb hálózati biztonsági rése?

Szerző: Robert Simon
A Teremtés Dátuma: 24 Június 2021
Frissítés Dátuma: 24 Június 2024
Anonim
Border Gateway Protocol: Az egyik legnagyobb hálózati biztonsági rése? - Technológia
Border Gateway Protocol: Az egyik legnagyobb hálózati biztonsági rése? - Technológia

Tartalom


Elvitel:

A BGP kifejlesztésekor a hálózati biztonság nem jelent problémát. Ezért a BGP problémája is a legnagyobb előnye: egyszerűsége.

A biztonsági réseket tekintve sok történt a puffer túlcsordulási támadásokkal, az elosztott szolgáltatásmegtagadási támadásokkal és a Wi-Fi behatolásokkal. Míg az ilyen típusú támadások rengeteg figyelmet szenteltek a népszerűbb IT magazinok, blogok és weboldalak körében, szexuális vonzerejük gyakran arra szolgál, hogy elhomályosítsa az informatikai ipar egy olyan területét, amely talán az összes internetes kommunikáció gerince: a Border Gateway Protocol (BGP). Mint kiderült, ez az egyszerű protokoll kihasználható - és annak megkísérelése nem lenne kisvállalkozás. (További információ a technológiai veszélyekről: Rosszindulatú szoftverek: férgek, trójaiak és botok, Oh My!)


Mi a BGP?

A Border Gateway Protocol egy külső átjáró protokoll, amely alapvetően egy autonóm rendszerről (AS) a másik autonóm rendszerre irányítja a forgalmat. Ebben az összefüggésben az „autonóm rendszer” egyszerűen minden olyan területre utal, amelyen az internetszolgáltatók (ISP) autonómiával rendelkeznek. Tehát, ha a végfelhasználó az AT&T-re támaszkodik ISP-jének, akkor az AT & T autonóm rendszerének egyikébe tartozik. Egy adott AS elnevezési konvenciója valószínűleg valami hasonlónak tűnik: AS7018 vagy AS7132.

A BGP a TCP / IP-re támaszkodik a két vagy több autonóm rendszer útválasztó közötti kapcsolatok fenntartása érdekében. Széles körű népszerűségnek örvend az 1990-es években, amikor az internet exponenciális ütemben növekedett. Az internetszolgáltatóknak egyszerű módszerre volt szükségük a forgalom más autonóm rendszereken belüli csomópontokhoz való irányításához, és a BGP egyszerűsége lehetővé tette, hogy gyorsan váljon a tartományok közötti útválasztás tényleges szabványává. Tehát, amikor a végfelhasználó valakivel kommunikál, aki más ISP-t használ, akkor a kommunikáció legalább két BGP-kompatibilis útválasztót halad át.


A közös BGP-forgatókönyv illusztrációja felvilágosíthatja a BGP tényleges mechanikáját. Tegyük fel, hogy két internetszolgáltató megállapodást köt a forgalom irányítására a saját autonóm rendszerükbe és onnan. Miután az összes papírt aláírták és a szerződéseket jóváhagyták a megfelelő jogi bolgárok, a tényleges kommunikációt átadják a hálózati rendszergazdáknak. Az AS1 BGP-kompatibilis útválasztója kommunikációt kezdeményez egy BGP-kompatibilis útválasztóval az AS2-ben. A kapcsolatot a 179 TCP / IP porton keresztül indítják és tartják fenn, és mivel ez egy kezdeti kapcsolat, mindkét útválasztó útválasztási táblákat cserél egymással.

Az útválasztási táblázatokon belül az adott AS minden meglévő csomópontjához vezető útvonalakat fenntartják. Ha nem áll rendelkezésre teljes útvonal, akkor a megfelelő al-autonóm rendszerhez vezető útvonal fennmarad. Ha az összes releváns információt kicserélték az inicializálás során, azt mondják, hogy a hálózat konvergált, és a jövőbeni kommunikáció frissítéseket és még mindig életben lévő kommunikációkat tartalmaz.

Elég egyszerű, ugye? Ez. És pontosan ez a probléma, mert éppen ez az egyszerűség nagyon zavaró sebezhetőségeket eredményezett.

Miért érdekelne?

Mindez jó és jó, de hogyan befolyásolja ez valakit, aki a számítógépet videojátékok lejátszására és a Netflix nézésére használja? Az egyik dolog, amelyet minden végfelhasználónak szem előtt kell tartania, az, hogy az internet nagyon érzékeny a dominóhatásra, és a BGP nagy szerepet játszik ebben. Ha helyesen hajtják végre, egy BGP-útválasztó feltörése a teljes autonóm rendszer számára a szolgáltatás megtagadását eredményezheti.

Tegyük fel, hogy egy adott autonóm rendszer IP-címe előtagja 10.0.x.x. Az AS-n belüli BGP-kompatibilis útválasztó ezt az előtagot más BGP-kompatibilis útválasztókhoz hirdeti más autonóm rendszerekben. Ez jellemzően átlátható egy adott rendszeren belüli végfelhasználók ezrei számára, mivel a legtöbb otthoni felhasználót gyakran az ISP szintjén szigetelik a folytatás. Süt a nap, madarak énekelnek, az internetes forgalom pedig zümmög. A Netflix, a YouTube és a Hulu képminősége pozitívan tiszta és a digitális élet még soha nem volt jobb.

Nincsenek hibák, nincs stressz - Az Ön életét megváltoztató szoftverek készítésének lépésről lépésre történő leírása az élet megsemmisítése nélkül

Nem javíthatja a programozási képességeit, ha senki sem törődik a szoftver minőségével.

Tegyük fel, hogy egy másik autonóm rendszeren belüli rosszindulatú személy elkezdi hirdetni saját hálózatát, mint a 10.0.x.x IP-cím előtag tulajdonosa. A helyzet még rosszabbá tétele érdekében ez a hálózati gazemberek hirdetik, hogy a 10.0.x.x címterületének alacsonyabb költsége van, mint az említett előtag jogos tulajdonosának. (Költség szerint kevesebb komlóra, több átvitelre, kevesebb torlódásra stb. Értem. A pénzügyek ebben a forgatókönyvben nem relevánsak). Hirtelen az összes forgalom, amelyet a végfelhasználói hálózathoz kötöttek, hirtelen átirányításra kerül egy másik hálózatra, és csak egy csomópont áll rendelkezésre, amit egy internetszolgáltató megtehet ennek megakadályozására.

A fent említettekhez nagyon hasonló forgatókönyv történt 2010. április 8-án, amikor egy kínai internetszolgáltató 40 000 hamis útvonal mentén hirdetett valamit. Teljes 18 perc alatt elmondhatatlan mennyiségű internetes forgalmat irányítottak az AS23724 kínai autonóm rendszerre. Egy ideális világban az összes tévesen irányított forgalom egy titkosított VPN-alagútban lehetett volna, ezáltal a forgalom nagy részét haszontalanná tette az elfogó fél számára, de nyugodtan mondhatjuk, hogy ez nem ideális világ. (További információ a VPN-ről a virtuális magánhálózatban: A Branch Office megoldás.)

A BGP jövője

A BGP problémája szintén a legnagyobb előnye: egyszerűsége. Amikor a BGP valóban megragadta a világszerte változó internetszolgáltatók körében, nem sokat gondolkodtak olyan koncepciókon, mint például a titoktartás, a hitelesség vagy az általános biztonság. A hálózati rendszergazdák egyszerűen csak kommunikálni akartak egymással. Az Internetes Műszaki Munkacsoport továbbra is tanulmányokat készít a BGP-n belüli sok sebezhetőség megoldásáról, ám egy olyan decentralizált entitás, mint például az internet biztosítása nem kis vállalkozás, és az internetet jelenleg használó emberek millióinak valószínűleg egyszerűen el kell tolerálniuk a alkalmi BGP kizsákmányolás.