Sadržaj
- Što je BGP?
- Zašto bi me bilo briga?
- Bez grešaka, bez stresa - Vaš korak po korak vodič za stvaranje softvera koji mijenja život bez uništavanja života
- Budućnost BGP-a
Oduzeti:
Kada je razvijen BGP, mrežna sigurnost nije bila problem. Zato je problem sa BGP-om i njegova najveća prednost: njegova jednostavnost.
Što se tiče sigurnosnih ranjivosti, mnogo je napravljeno od napada prepunjenog međuspremnika, distribuiranog napada uskraćivanja usluge i upada u Wi-Fi. Iako su ove vrste napada prikupile mnogo pažnje u popularnijim informativnim časopisima, blogovima i web stranicama, njihova seksualna privlačnost često je poslužila za zasjenjivanje područja unutar IT industrije koje su možda okosnica svih internetskih komunikacija: Border Gateway Protocol (BGP). Kako se ispostavilo, ovaj je jednostavan protokol otvoren za eksploataciju - i pokušaj da se osigura to nije bio mali poduhvat. (Da biste saznali više o tehnološkim prijetnjama, pogledajte Zlonamjerni softver: crvi, trojanci i botovi, oh moj!)
Što je BGP?
Border Gateway Protocol protokol je vanjskog gateway-a koji u osnovi usmjerava promet s jednog autonomnog sustava (AS) na drugi autonomni sustav. Sukladno tome, "autonomni sustav" jednostavno se odnosi na bilo koju domenu nad kojom pružatelj internetskih usluga (ISP) ima autonomiju. Dakle, ako se krajnji korisnik oslanja na AT&T kao svoj ISP, on će pripadati jednom od AT&T autonomnih sustava. Konvencija o imenovanju za zadani AS izgledat će najvjerojatnije poput AS7018 ili AS7132.
BGP se oslanja na TCP / IP za održavanje veze između dva ili više autonomnih usmjerivača sustava. Široku popularnost stekao je tijekom devedesetih godina prošlog vijeka kada je internet eksponencijalno rastao. Davateljima internetskih usluga potreban je jednostavan način usmjeravanja prometa na čvorove unutar drugih autonomnih sustava, a jednostavnost BGP-a omogućila mu je da brzo postane de facto standard u usmjeravanju između domena. Kad krajnji korisnik komunicira s nekim tko koristi drugačiji ISP, te će komunikacije preći najmanje dva usmjerivača s BGP protokolom.
Ilustracija uobičajenog BGP scenarija može osvijetliti stvarnu mehaniku BGP-a. Pretpostavimo da dva davatelja internetskih usluga sklapaju ugovor o usmjeravanju prometa do i od svojih autonomnih sustava. Nakon što su svi papiri potpisani i ugovori odobreni od strane njihovih pravnih članova, stvarne komunikacije prenose se mrežnim administratorima. BGP usmjerivač u AS1 pokreće komunikaciju s BGP usmjerivačem u AS2. Veza se pokreće i održava putem TCP / IP priključka 179, a budući da je ovo početna veza, oba usmjerivača međusobno razmjenjuju tablice usmjeravanja.
Unutar tablica usmjeravanja održavaju se putanje do svakog postojećeg čvora unutar određenog AS-a. Ako puni put nije dostupan, održava se put do odgovarajućeg subaonomnog sustava. Nakon razmjene svih relevantnih podataka tijekom inicijalizacije, mreža se kaže da će se konvergirati, a svaka buduća komunikacija uključivat će ažuriranja i komunikaciju koja je još uvijek živa.
Prilično jednostavno zar ne? To je. Upravo je u tome problem, jer je upravo ta njegova jednostavnost dovela do vrlo uznemirujuće ranjivosti.
Zašto bi me bilo briga?
To je sve dobro i dobro, ali kako to utječe na nekoga tko koristi svoje računalo za igranje video igara i gledanje Netflixa? Jedna stvar koju svaki krajnji korisnik treba imati na umu je da je internet vrlo osjetljiv na domino efekt, a BGP u tome ima veliku ulogu. Ako se ispravno izvrši, hakiranje jednog BGP usmjerivača može rezultirati uskraćivanjem servisa za cijeli autonomni sustav.
Recimo da je prefiks IP adrese za određeni autonomni sustav 10.0.x.x. BGP-ov usmjerivač unutar ovog AS-a oglašava ovaj prefiks ostalim BGP-ima usmjerivačima unutar drugih autonomnih sustava. Ovo je obično prozirno za tisuće krajnjih korisnika unutar određenog AS-a, jer je većina kućnih korisnika često izolirana od usluga na ISP-u. Sunce sja, ptice pjevaju i internetski promet se guši. Kvaliteta slika na Netflixu, YouTubeu i Huluu pozitivno je netaknuta, a digitalni život nikad nije bio bolji.
Bez grešaka, bez stresa - Vaš korak po korak vodič za stvaranje softvera koji mijenja život bez uništavanja života
Ne možete poboljšati svoje programiranje kad nikoga nije briga za kvalitetu softvera.
Recimo da zloglasni pojedinac unutar drugog autonomnog sustava započinje oglašavanje vlastite mreže kao vlasnika prefiksa 10.0.x.x IP adrese. Da stvar bude još gora, mrežni negativac oglašava da njegov adresni prostor 10.0.x.x ima nižu cijenu od valjanog vlasnika navedenog prefiksa. (Pod troškom mislim na manje hmelja, veću propusnost, manje zagušenja itd. Financije su u ovom scenariju nevažne). Odjednom se sav promet koji je vezan za mrežu krajnjeg korisnika odjednom preusmjerava na drugu mrežu, a ISP ne može puno toga spriječiti u tome.
Scenarij vrlo sličan upravo spomenutom dogodio se 8. travnja 2010, kada je ISP unutar Kine oglašavao nešto u skladu s 40 000 lažnih ruta. Tijekom 18 minuta nebrojene količine internetskog prometa preusmjerene su na kineski autonomni sustav AS23724. U idealnom bi svijetu sav taj pogrešno usmjeren promet bio unutar šifriranog tunela VPN-a, čime bi velik dio prometa bio nekoristan sudioniku koji ga presreće, ali sigurno je reći da to nije idealan svijet. (Saznajte više o VPN-u u virtualnoj privatnoj mreži: rješenje poslovnice.)
Budućnost BGP-a
Problem s BGP-om je i njegova najveća prednost: njegova jednostavnost. Kada se BGP počeo stvarno dohvaćati među različitim pružateljima internetskih usluga širom svijeta, nije se puno razmišljalo u koncepte poput povjerljivosti, autentičnosti ili ukupne sigurnosti. Mrežni administratori jednostavno su željeli komunicirati jedni s drugima. Radna grupa za Internet inženjering nastavlja provoditi studije o rješenjima za brojne ranjivosti unutar BGP-a, ali pokušaj osiguranja decentraliziranog entiteta poput interneta nije mali poduhvat, a milijuni ljudi koji trenutno koriste internet možda će morati jednostavno tolerirati povremena eksploatacija BGP-a.