Border Gateway Protocol: kas võrgu suurim haavatavus on kõigil?

Autor: Robert Simon
Loomise Kuupäev: 24 Juunis 2021
Värskenduse Kuupäev: 24 Juunis 2024
Anonim
Border Gateway Protocol: kas võrgu suurim haavatavus on kõigil? - Tehnoloogia
Border Gateway Protocol: kas võrgu suurim haavatavus on kõigil? - Tehnoloogia

Sisu


Ära võtma:

Kui BGP töötati välja, polnud võrgu turvalisus probleem. Seetõttu on BGP probleem ka selle suurim eelis: lihtsus.

Turvahaavatavuste osas on palju tehtud puhvrite ületäitumise rünnakutest, hajutatud teenuse keelamise rünnakutest ja WiFi sissetungidest. Kuigi seda tüüpi rünnakud on pälvinud palju tähelepanu populaarsemates IT-ajakirjades, ajaveebides ja veebisaitidel, on nende seksuaalsuse muutmine sageli varjutanud IT-valdkonna valdkonda, mis on võib-olla kogu Interneti-ühenduse selgroog: Border Gateway Protocol (BGP). Nagu selgub, on see lihtne protokoll kasutamiseks avatud - ja selle kindlustamine poleks väike ettevõtmine. (Lisateavet tehnoloogiliste ohtude kohta leiate jaotisest Pahatahtlik tarkvara: ussid, troojalased ja robotid, Oh, mu!)

Mis on BGP?

Border Gateway Protocol on välise lüüsi protokoll, mis suunab liikluse põhimõtteliselt ühest autonoomsest süsteemist teise autonoomsesse süsteemi. Selles kontekstis viitab "autonoomne süsteem" lihtsalt igale domeenile, milles Interneti-teenuse pakkujal (ISP) on autonoomia. Niisiis, kui lõppkasutaja tugineb oma Interneti-teenuse pakkujale AT&T, kuulub ta ühte AT & T autonoomsest süsteemist. Antud AS-i nimetamise tava näeb tõenäoliselt välja nagu AS7018 või AS7132.


BGP tugineb TCP / IP-le, et säilitada ühendusi kahe või enama autonoomse ruuteri vahel. See saavutas suure populaarsuse 1990ndatel, kui Internet kasvas hüppeliselt. Interneti-teenuse pakkujad vajasid lihtsat viisi liikluse suunamiseks teiste autonoomsete süsteemide sõlmedesse ja BGP lihtsus võimaldas tal kiiresti muutuda domeenidevahelise marsruutimise de facto standardiks. Niisiis, kui lõppkasutaja suhtleb kellegagi, kes kasutab teist ISP-d, on need sideühendused läbinud vähemalt kaks BGP-toega ruuterit.

Ühise BGP stsenaariumi illustratsioon võib valgustada BGP tegelikku mehaanikat. Oletame, et kaks Interneti-teenuse pakkujat sõlmivad kokkuleppe liikluse suunamiseks oma vastavatesse autonoomsetesse süsteemidesse ja tagasi. Kui kõik paberimajandus on allkirjastatud ja lepingud on heaks kiitnud vastavad juriidilised beaglid, antakse tegelik suhtlus üle võrguhalduritele. AS1-s asuv BGP-toega ruuter algatab ühenduse ASG-s BGP-toega ruuteriga. Ühenduse loomine toimub ja seda hoitakse TCP / IP pordi 179 kaudu ning kuna see on esialgne ühendus, vahetavad mõlemad ruuterid üksteisega marsruutimistabeleid.


Marsruutimistabelites hoitakse teed iga olemasoleva sõlme juurde antud AS-is. Kui täielik tee pole saadaval, säilitatakse marsruut vastava sub-autonoomse süsteemi juurde. Kui kogu asjakohane teave on initsialiseerimise ajal vahetatud, siis öeldakse, et võrk on ühtlustunud ja igasugune tulevane suhtlus hõlmab värskendusi ja teie-veel-elusolevat suhtlust.

Päris lihtne, eks? See on. Ja see on just probleem, sest just selle lihtsus on põhjustanud väga häirivaid haavatavusi.

Miks ma peaksin hoolima?

See kõik on hästi ja hea, kuid kuidas mõjutab see kedagi, kes kasutab oma arvutit videomängude mängimiseks ja Netflixi vaatamiseks? Üks asi, mida iga lõppkasutaja peaks meeles pidama, on see, et Internet on doominoefekti suhtes väga vastuvõtlik ja BGP mängib selles suurt rolli. Kui seda õigesti teha, võib ühe BGP-ruuteri häkkimine põhjustada kogu autonoomse süsteemi teenuse keelamist.

Ütleme nii, et antud autonoomse süsteemi IP-aadressi eesliide on 10.0.x.x. Selle AS-i BGP-toega ruuter reklaamib seda prefiksit teistele autonoomsetes süsteemides asuvatele teistele BGP-toega ruuteritele. Tavaliselt on see tuhandetes lõppkasutajates läbipaistvaks antud AS-is, kuna enamik kodukasutajaid on Interneti-teenuse pakkujate tasemel sageli isoleeritud. Päike paistab, linnud laulavad ja Interneti-liiklus sumiseb. Netflixi, YouTube'i ja Hulu pildikvaliteet on positiivne ja digitaalne elu pole kunagi olnud parem.

Pole vigu ega stressi - teie samm-sammuline juhend elumuutva tarkvara loomiseks ilma oma elu hävitamata

Te ei saa oma programmeerimisoskusi parandada, kui keegi tarkvara kvaliteedist ei hooli.

Ütleme nii, et mõne teise autonoomse süsteemi varjatud inimene hakkab oma võrku reklaamima kui 10.0.x.x IP-aadressi eesliidet omanikku. Olukorra halvendamiseks reklaamib see võrgu kaabakas, et tema 10.0.x.x aadressiruum on odavam kui eesliite õigustatud omanikul. (Kulude all pean silmas vähem humalat, rohkem läbilaskevõimet, vähem ummikuid jne. Finantsid pole selle stsenaariumi korral olulised). Järsku suunatakse kogu lõppkasutaja võrku suletud liiklus ootamatult teise võrku ja lihtsalt ei ole midagi sellist, mida Interneti-teenuse pakkuja saaks selle ärahoidmiseks teha.

Äsja mainituga väga sarnane stsenaarium leidis aset 8. aprillil 2010, kui Hiinas asuv Interneti-teenuse pakkuja reklaamis midagi 40 000 võltsi marsruudi järgi. 18 minutiks suunati Hiina autonoomsesse süsteemi AS23724 suunamata koguses Interneti-liiklust. Ideaalses maailmas oleks kogu see valesti suunatud liiklus olnud krüptitud VPN-tunnelis, muutes seeläbi suure osa liiklusest pealtkuulaja jaoks kasutuks, kuid võib kindlalt öelda, et see pole ideaalne maailm. (Lisateave virtuaalse privaatvõrgu VPN-i kohta: harukontorilahendus.)

BGP tulevik

BGP probleem on ka selle suurim eelis: lihtsus. Kui BGP hakkas kogu maailmas asuvate erinevate Interneti-teenuse pakkujate hulgas tõeliselt haarama, ei hakatud eriti mõtlema sellistele kontseptsioonidele nagu konfidentsiaalsus, autentsus või üldine turvalisus. Võrguadministraatorid soovisid lihtsalt omavahel suhelda. Interneti-tehnilise töörühm jätkab BGP paljude haavatavuste lahenduste uurimist, kuid sellise detsentraliseeritud üksuse nagu Internet kindlustamine ei ole väike ettevõtmine ning miljonid inimesed, kes kasutavad praegu Internetti, peavad võib-olla lihtsalt taluma juhuslik BGP ärakasutamine.