Border Gateway-protokol: Den største sårbarhed for netværket af alle?

Forfatter: Robert Simon
Oprettelsesdato: 24 Juni 2021
Opdateringsdato: 24 Juni 2024
Anonim
Border Gateway-protokol: Den største sårbarhed for netværket af alle? - Teknologi
Border Gateway-protokol: Den største sårbarhed for netværket af alle? - Teknologi

Indhold


Tag væk:

Da BGP blev udviklet, var netværkssikkerhed ikke et problem. Derfor er problemet med BGP også dets største fordel: dets enkelhed.

Med hensyn til sikkerhedssårbarheder er der lavet meget af bufferoverløbsangreb, distribuerede angreb på afslag på tjenester og Wi-Fi-indtrængen. Mens disse typer angreb har fået rigelig mængde opmærksomhed inden for de mere populære it-magasiner, blogs og websteder, har deres sexappel ofte tjent til at overskygge et område inden for it-branchen, der måske er rygraden i al internetkommunikation: Border Gateway-protokollen (BGP). Det viser sig, at denne enkle protokol er åben for udnyttelse - og at forsøge at sikre den ville ikke være nogen lille virksomhed. (Se ondsindet software: Worms, trojanere og bots, Oh My!) For at lære mere om teknologiske trusler.

Hvad er BGP?

Border Gateway-protokollen er en udvendig gateway-protokol, der dybest set dirigerer trafik fra et autonomt system (AS) til et andet autonome system. I dette forhold henviser "autonomt system" ganske enkelt til ethvert domæne, som en internetudbyder har (ISP), som har autonomi. Så hvis en slutbruger er afhængig af AT&T som sin internetudbyder, vil han tilhøre et af AT & T's autonome systemer. Navnekonventionen for et givet AS vil sandsynligvis ligne AS7018 eller AS7132.


BGP er afhængig af TCP / IP for at opretholde forbindelser mellem to eller flere autonome systemrutere. Det fik bred popularitet i 1990'erne, hvor internettet voksede i en eksponentiel hastighed. Internetudbydere havde brug for en enkel måde at dirigere trafik til noder inden for andre autonome systemer, og BGPs enkelhed gjorde det muligt hurtigt at blive de facto-standarden inden for routing mellem domæner. Så når en slutbruger kommunikerer med nogen, der bruger en anden ISP, vil disse kommunikationer have krydset mindst to BGP-aktiverede routere.

En illustration af et almindeligt BGP-scenarie kan kaste lys over den faktiske mekanik i BGP. Antag, at to internetudbydere indgår en aftale om at dirigere trafik til og fra deres respektive autonome systemer. Når alle papirerne er underskrevet, og kontrakterne er godkendt af deres respektive lovlige beagler, overføres den faktiske kommunikation til netværksadministratorerne. En BGP-aktiveret router i AS1 starter kommunikation med en BGP-aktiveret router i AS2. Forbindelsen initieres og vedligeholdes via TCP / IP-port 179, og da dette er en indledende forbindelse, udveksler begge routere rutetabeller med hinanden.


Inden for rutetabeller vedligeholdes stier til alle eksisterende noder inden for et givet AS. Hvis en fuld sti ikke er tilgængelig, opretholdes en rute til det relevante sub-autonome system. Når alle relevante oplysninger er blevet udvekslet under initialisering, siges det, at netværket er konvergeret, og enhver fremtidig kommunikation involverer opdateringer og er-du-stadig-i live-kommunikation.

Temmelig simpelt ikke? Det er. Og det er netop problemet, fordi det er denne meget enkelhed, der har ført til nogle meget forstyrrende sårbarheder.

Hvorfor skal jeg pleje?

Dette er alt sammen godt og godt, men hvordan påvirker dette nogen, der bruger deres computer til at spille videospil og se Netflix? En ting, som enhver slutbruger skal huske, er, at internettet er meget modtageligt for dominoeffekten, og BGP spiller en stor rolle i dette. Hvis det gøres korrekt, kan hacking af en BGP-router resultere i afvisning af service for et helt autonome system.

Lad os sige, at IP-adressepræfikset for et givet autonomt system er 10.0.x.x. Den BGP-aktiverede router i dette AS annoncerer denne præfiks til andre BGP-aktiverede routere inden for andre autonome systemer. Dette er typisk gennemsigtigt for de tusinder af slutbrugere inden for et givet AS, da de fleste hjemmebrugere ofte er isoleret fra fortsættelsen på ISP-niveau. Solen skinner, fugle synger, og internettrafikken nynder med. Netflix, YouTube og Hulu billedkvalitet er positivt uberørt, og det digitale liv har aldrig været bedre.

Ingen fejl, ingen stress - Din trinvis vejledning til oprettelse af livsændrende software uden at ødelægge dit liv

Du kan ikke forbedre dine programmeringsevner, når ingen er interesseret i softwarekvalitet.

Lad os nu sige, at en afskyelig person inden for et andet autonomt system begynder at annoncere sit eget netværk som ejer af IP-adressepræfikset 10.0.x.x. For at gøre det værre, reklamerer denne netværksskurk, at hans 10.0.x.x adresseplads har en lavere pris end den retmæssige ejer af nævnte præfiks. (Med omkostninger mener jeg færre humle, mere gennemstrømning, mindre overbelastning osv. Finansiering er irrelevant i dette scenarie). Pludselig bliver al den trafik, der var bundet til slutbrugerens netværk, pludselig omdirigeret til et andet netværk, og der er bare ikke en hel masse, som en internetudbyder kan gøre for at forhindre dette.

Et scenarie, der ligner det netop nævnte, fandt sted den 8. april 2010, da en internetudbyder i Kina annoncerede noget i retning af 40.000 falske ruter. I hele 18 minutter blev utallige mængder internettrafik omdirigeret til det kinesiske autonome system AS23724. I en ideel verden ville al denne forkert dirigerede trafik have været inde i en krypteret VPN-tunnel og derved gøre meget af trafikken ubrugelig for den aflyttende part, men det er sikkert at sige, at dette ikke er en ideel verden. (Lær mere om VPN i Virtual Private Network: The Branch Office Solution.)

BGP's fremtid

Problemet med BGP er også dets største fordel: dets enkelhed. Da BGP begyndte virkelig at gribe fat i de forskellige internetudbydere overalt i verden, blev der ikke tænkt meget på begreber som fortrolighed, ægthed eller generel sikkerhed. Netværksadministratorer ville simpelthen kommunikere med hinanden. Internet Engineering Task Force fortsætter med at undersøge løsninger til de mange sårbarheder inden for BGP, men at forsøge at sikre en decentral enhed som internettet er ikke en lille virksomhed, og de millioner af mennesker, der i øjeblikket bruger internettet, kan muligvis bare tolerere lejlighedsvis udnyttelse af BGP.