Protocolul Gateway Gateway: cea mai mare vulnerabilitate a rețelei dintre toți?

Autor: Robert Simon
Data Creației: 24 Iunie 2021
Data Actualizării: 24 Iunie 2024
Anonim
Find Network Vulnerabilities with Nmap Scripts [Tutorial]
Video: Find Network Vulnerabilities with Nmap Scripts [Tutorial]

Conţinut


La pachet:

Când a fost dezvoltat BGP, securitatea rețelei nu a fost o problemă. Acesta este motivul pentru care problema cu BGP este și cel mai mare avantaj: simplitatea sa.

În ceea ce privește vulnerabilitățile de securitate, s-au făcut multe lucruri din atacuri de reîncărcare tampon, atacuri de refuz distribuit de servicii și intruziuni Wi-Fi. În timp ce aceste tipuri de atacuri au strâns numeroase atenții în revistele IT, blogurile și site-urile web cele mai populare, apelul lor sexual a servit adesea pentru a umbri o zonă din industria IT, care este probabil coloana vertebrală a tuturor comunicațiilor pe internet: Protocolul de Frontieră Gateway (BGP). După cum se dovedește, acest protocol simplu este deschis exploatării - și încercarea de a-l asigura nu ar fi o întreprindere mică. (Pentru a afla mai multe despre amenințările tehnologice, consultați Software-ul rău intenționat: Viermi, troieni și roboți, Oh My!)


Ce este BGP?

Protocolul de poartă frontieră este un protocol de poartă exterioară care, practic, direcționează traficul de la un sistem autonom (AS) la un alt sistem autonom. În acest context, „sistem autonom” se referă pur și simplu la orice domeniu peste care un furnizor de servicii de internet (ISP) are autonomie. Deci, dacă un utilizator final se bazează pe AT&T ca ISP-ul său, el va aparține unuia dintre sistemele autonome AT&T. Convenția de denumire pentru un AS dat va arăta, probabil, ceva asemănător cu AS7018 sau AS7132.

BGP se bazează pe TCP / IP pentru a menține conexiunile între două sau mai multe routere de sistem autonome. Acesta a câștigat popularitate largă în anii 1990 când internetul crește într-un ritm exponențial. ISP-urile aveau nevoie de o modalitate simplă de a direcționa traficul către noduri din alte sisteme autonome, iar simplitatea BGP i-a permis să devină rapid standardul de facto în rutarea inter-domeniu. Deci, atunci când un utilizator final comunică cu cineva care folosește un ISP diferit, aceste comunicări vor fi traversat cel puțin două routere activate de BGP.


O ilustrare a unui scenariu comun BGP poate arunca o lumină asupra mecanicii actuale a BGP. Să presupunem că doi furnizori ISP încheie un acord de direcționare a traficului către și de la sistemele lor autonome respective. Odată ce toate documentele au fost semnate și contractele au fost aprobate de către respectiva lor persoană juridică, comunicările efective sunt preluate administratorilor rețelei. Un router activat BGP în AS1 inițiază comunicarea cu un router activat BGP în AS2. Conexiunea este inițiată și menținută prin portul TCP / IP 179 și, deoarece aceasta este o conexiune inițială, ambele routere schimbă tabele de rutare între ele.

În cadrul tabelelor de rutare, sunt menținute căile către fiecare nod existent într-un AS dat. Dacă nu este disponibilă o cale completă, se menține o rută către sistemul sub-autonom adecvat. Odată ce toate informațiile relevante au fost schimbate în timpul inițializării, se spune că rețeaua este convergentă, iar orice comunicare viitoare va implica actualizări și sunt în continuare comunicări.

Destul de simplu, nu? Este. Și tocmai asta este problema, deoarece este această simplitate care a dus la unele vulnerabilități foarte deranjante.

De ce mi-ar păsa?

Acest lucru este totul bine, dar cum afectează acest lucru pe cineva care își folosește computerul pentru a juca jocuri video și pentru a viziona Netflix? Un lucru de care trebuie să țină cont de fiecare utilizator final este că internetul este foarte susceptibil la efectul domino, iar BGP joacă un rol important în acest sens. Dacă se face corect, hackingul unui router BGP poate duce la refuzul serviciului pentru un întreg sistem autonom.

Să presupunem că prefixul adresei IP pentru un anumit sistem autonom este 10.0.x.x. Router-ul activat BGP din acest AS face reclamă acestui prefix altor routere activate BGP din alte sisteme autonome. Acest lucru este de obicei transparent pentru miile de utilizatori finali dintr-un AS dat, deoarece majoritatea utilizatorilor casnici sunt deseori izolați de acțiunile de la nivelul ISP. Soarele strălucește, păsările cântă, iar traficul pe internet se zumzăie. Calitatea imaginii Netflix, YouTube și Hulu este cu totul pozitivă, iar viața digitală nu a fost niciodată mai bună.

Fără bug-uri, fără stres - Ghidul dvs. pas cu pas pentru crearea de software care poate schimba viața fără a vă distruge viața

Nu îți poți îmbunătăți abilitățile de programare atunci când nimeni nu îi pasă de calitatea software-ului.

Acum, să spunem că o persoană nefastă dintr-un alt sistem autonom începe să-și facă publicitatea propriei rețele ca proprietar al prefixului adresei IP 10.0.x.x. Pentru a înrăutăți, acest răufăcător de rețea face reclamă că spațiul său de adrese 10.0.x.x are un cost mai mic decât proprietarul de drept al prefixului menționat. (Prin cost, mă refer la mai puține hamei, mai mult randament, mai puține congestii, etc. Finanțele sunt irelevante în acest scenariu). Dintr-o dată, tot traficul care a fost legat pentru rețeaua utilizatorului final este brusc redirecționat către o altă rețea și nu există doar un lot întreg pe care un ISP îl poate face pentru a preveni acest lucru.

Un scenariu foarte asemănător cu cel amintit a avut loc la 8 aprilie 2010, când un ISP din China a făcut reclamă ceva de-a lungul liniilor de 40.000 de rute false. Timp de 18 minute complete, cantități nespuse de trafic de internet au fost redirecționate către sistemul autonom chinez AS23724. Într-o lume ideală, tot acest trafic direcționat greșit ar fi fost în interiorul unui tunel VPN criptat, ceea ce ar face inutil o parte din trafic pentru partea interceptantă, dar este sigur să spunem că aceasta nu este o lume ideală. (Aflați mai multe despre VPN în rețeaua virtuală privată: soluția sucursală).

Viitorul BGP

Problema cu BGP este, de asemenea, cel mai mare avantaj al său: simplitatea sa. Când BGP a început să se prindă cu adevărat în rândul diverselor ISP-uri din întreaga lume, nu s-a gândit prea mult la concepte precum confidențialitate, autenticitate sau securitate generală. Administratorii de rețea doreau pur și simplu să comunice între ei. Internet Engineering Task Force continuă să efectueze studii pentru soluții pentru numeroasele vulnerabilități din cadrul BGP, dar încercarea de a asigura o entitate descentralizată, cum ar fi internetul, nu este o întreprindere mică, iar milioanele de persoane care utilizează în prezent internetul ar trebui să tolereze pur și simplu exploatare ocazională a BGP.