Protocol de passarel·la de frontera: la vulnerabilitat de la xarxa més gran de tots?

Autora: Robert Simon
Data De La Creació: 24 Juny 2021
Data D’Actualització: 22 Juny 2024
Anonim
Protocol de passarel·la de frontera: la vulnerabilitat de la xarxa més gran de tots? - Tecnologia
Protocol de passarel·la de frontera: la vulnerabilitat de la xarxa més gran de tots? - Tecnologia

Content


Emportar:

Quan es va desenvolupar BGP, la seguretat de la xarxa no era un problema. És per això que el problema amb BGP és també el seu major avantatge: la seva senzillesa.

Pel que fa a les vulnerabilitats de seguretat, s’ha parlat molt d’atacs de desbordament de buffer, atacs de denegació de serveis distribuïts i intrusions Wi-Fi. Tot i que aquest tipus d'atacs han obtingut una gran quantitat d'atenció en les revistes informàtiques, blocs i llocs web més populars, la seva crida sexual ha servit sovint per eclipsar una zona de la indústria informàtica que potser és la columna vertebral de totes les comunicacions per Internet: el protocol de la passarel·la fronterera. (BGP). Segons resulta, aquest simple protocol està obert a l'explotació, i intentar assegurar-ho no seria una petita empresa. (Per obtenir més informació sobre les amenaces tecnològiques, vegeu Programari maliciós: cucs, troians i bot, Oh My!)


Què és BGP?

El protocol de passarel·la de frontera és un protocol de passarel·la exterior que bàsicament dirigeix ​​el trànsit d'un sistema autònom (AS) a un altre sistema autònom. En aquest sentit, "sistema autònom" es refereix simplement a qualsevol domini sobre el qual un proveïdor de serveis d'Internet (ISP) té autonomia. De manera que, si un usuari final confia en AT&T com a ISP, pertanyrà a un dels sistemes autònoms de AT&T. La convenció de nomenament per a un AS determinat probablement semblarà a AS7018 o AS7132.

BGP es basa en TCP / IP per mantenir connexions entre dos o més encaminadors del sistema autònom. Va guanyar àmplia popularitat durant els anys 90 quan Internet creixia a un ritme exponencial. Els proveïdors ISP necessitaven una manera senzilla d’encaminar el trànsit cap als nodes d’altres sistemes autònoms i la simplicitat de BGP permetia que es convertís ràpidament en l’estàndard de facto en l’encaminament dels dominis. Així, quan un usuari final es comunica amb algú que utilitza un ISP diferent, aquestes comunicacions hauran travessat un mínim de dos encaminadors habilitats BGP.


La il·lustració d'un escenari comú de BGP pot donar llum a la mecànica real de BGP. Suposem que dos operadors ISP tenen un acord per encaminar el trànsit cap a i cap als seus respectius sistemes autònoms. Un cop signats tots els tràmits i aprovats els seus contractes per les seves respectives obligacions legals, les comunicacions reals es traslladen als administradors de la xarxa. Un encaminador activat per BGP a AS1 inicia la comunicació amb un encaminador habilitat per a BGP a AS2. La connexió s’inicia i es manté a través del port TCP / IP 179 i, ja que es tracta d’una connexió inicial, tots dos encaminadors intercanvien taules d’encaminament entre elles.

Dins de les taules d'encaminament, es mantenen les rutes a tots els nodes existents en un AS determinat. Si no hi ha un camí complet disponible, es mantindrà una ruta al sistema sub-autònom adequat. Una vegada que s'ha intercanviat tota la informació rellevant durant la inicialització, es diu que la xarxa està en convergència, i les comunicacions futures comportaran actualitzacions i comunicacions encara vives.

Bastant simple, no? És. I aquest és precisament el problema, perquè és aquesta senzillesa que ha donat lloc a algunes vulnerabilitats molt preocupants.

Per què m’hauria d’importar?

Tot està bé i bé, però, com afecta això a algú que utilitza el seu ordinador per jugar a videojocs i veure Netflix? Una cosa que tots els usuaris finals han de tenir en compte és que Internet és molt susceptible a l'efecte dòmino i BGP hi té un paper important. Si es fa correctament, piratejar un encaminador BGP podria donar lloc a la denegació del servei per a tot un sistema autònom.

Diguem que el prefix d’adreça IP d’un sistema autònom determinat és 10.0.x.x. L’encaminador activat per BGP dins d’aquest AS anuncia aquest prefix a altres encaminadors habilitats BGP dins d’altres sistemes autònoms. Això és normalment transparent per als milers d’usuaris finals d’un AS determinat, ja que la majoria d’usuaris domèstics solen quedar aïllats de les conseqüències a nivell ISP. El sol brilla, els ocells canten i el trànsit a Internet es redueix. La qualitat de les imatges de Netflix, YouTube i Hulu és positiva i la vida digital no ha estat mai millor.

Sense errors, sense estrès: la vostra guia pas a pas per crear programes que canvien la vida sense destruir la vida

No podeu millorar les vostres habilitats de programació quan ningú es preocupa per la qualitat del programari.

Ara, diguem que un individu nefast dins d’un altre sistema autònom comença a anunciar la seva pròpia xarxa com a propietari del prefix d’adreça IP 10.0.x.x. Per empitjorar, aquest vilà de la xarxa anuncia que el seu espai d’adreces 10.0.x.x té un cost inferior al propietari legítim del dit prefix. (Per cost, vull dir menys salts, més rendibilitat, menys congestió, etc. Les finances són irrellevants en aquest escenari). De sobte, tot el trànsit vinculat a la xarxa de l’usuari final es desvia sobtadament cap a una altra xarxa i no només hi ha un ISP que pugui fer per evitar-ho.

Un escenari molt semblant al que s’acaba d’esmentar es va produir el 8 d’abril de 2010, quan un ISP a la Xina va anunciar alguna cosa segons la línia de 40.000 rutes falses. Durant un total de 18 minuts, es van desviar quantitats de trànsit a Internet al sistema autònom xinès AS23724. En un món ideal, tot aquest trànsit dirigit erròniament hauria estat dins d’un túnel VPN xifrat, fent que la part interceptora sigui inútil gran part del trànsit, però és segur que aquest no sigui un món ideal. (Obteniu més informació sobre la VPN a la xarxa privada virtual: la solució de la sucursal.)

El futur de BGP

El problema de BGP és també el seu avantatge més gran: la seva simplicitat. Quan BGP va començar a agafar-se entre els diferents ISP del món, no es va pensar en conceptes com ara confidencialitat, autenticitat o seguretat general. Els administradors de xarxa només volien comunicar-se entre ells. La indústria d’enginyeria d’Internet continua fent estudis sobre solucions per a les moltes vulnerabilitats dins de BGP, però l’intent d’assegurar una entitat descentralitzada com Internet no és una petita empresa, i els milions de persones que utilitzen actualment Internet poden haver de tolerar simplement la explotació ocasional de BGP.