Zawartość
- Co to jest BGP?
- Dlaczego miałoby mnie to obchodzić?
- Bez błędów, bez stresu - Twój przewodnik krok po kroku do tworzenia oprogramowania zmieniającego życie bez niszczenia życia
- Przyszłość BGP
Na wynos:
Gdy opracowano BGP, bezpieczeństwo sieci nie stanowiło problemu. Właśnie dlatego problem z BGP jest także jego największą zaletą: prostotą.
Jeśli chodzi o luki w zabezpieczeniach, wiele zrobiono na temat ataków polegających na przepełnieniu bufora, rozproszonych ataków typu „odmowa usługi” oraz włamań do sieci Wi-Fi. Podczas gdy tego rodzaju ataki przyciągnęły wiele uwagi w bardziej popularnych czasopismach informatycznych, blogach i witrynach internetowych, ich seksapil często służył do przyćmienia obszaru w branży IT, który być może jest kręgosłupem wszelkiej komunikacji internetowej: Border Gateway Protocol (BGP). Jak się okazuje, ten prosty protokół jest otwarty na wykorzystanie - i próba jego zabezpieczenia nie byłaby małym przedsięwzięciem. (Aby dowiedzieć się więcej o zagrożeniach technologicznych, zobacz Złośliwe oprogramowanie: robaki, trojany i boty, o rany!)
Co to jest BGP?
Border Gateway Protocol to zewnętrzny protokół bramy, który zasadniczo kieruje ruchem z jednego systemu autonomicznego (AS) do innego systemu autonomicznego. W tym kontekście „system autonomiczny” oznacza po prostu dowolną domenę, nad którą dostawca usług internetowych (ISP) ma autonomię. Jeśli więc użytkownik końcowy będzie polegał na AT&T jako swoim dostawcy usług internetowych, będzie należeć do jednego z autonomicznych systemów AT&T. Konwencja nazewnictwa dla danego AS najprawdopodobniej będzie wyglądać jak AS7018 lub AS7132.
BGP polega na TCP / IP do utrzymywania połączeń między dwoma lub więcej autonomicznymi routerami systemowymi. Zyskał dużą popularność w latach 90., kiedy internet rozwijał się w gwałtownym tempie. Dostawcy usług internetowych potrzebowali prostego sposobu kierowania ruchu do węzłów w innych systemach autonomicznych, a prostota BGP pozwoliła szybko stać się de facto standardem w routingu między domenami. Tak więc, gdy użytkownik końcowy komunikuje się z kimś, kto korzysta z innego usługodawcy internetowego, komunikacja ta przejdzie przynajmniej dwa routery z obsługą BGP.
Ilustracja typowego scenariusza BGP może rzucić nieco światła na rzeczywistą mechanikę BGP. Załóżmy, że dwóch dostawców usług internetowych zawiera umowę o kierowaniu ruchu do iz ich odpowiednich systemów autonomicznych. Po podpisaniu wszystkich dokumentów i zatwierdzeniu umów przez ich odpowiednie legalne beagle, rzeczywista komunikacja jest przekazywana administratorom sieci. Router z obsługą BGP w AS1 inicjuje komunikację z routerem z obsługą BGP w AS2. Połączenie jest inicjowane i utrzymywane przez port TCP / IP 179, a ponieważ jest to połączenie początkowe, oba routery wymieniają między sobą tabele routingu.
W tabelach routingu utrzymywane są ścieżki do każdego istniejącego węzła w danym AS. Jeśli pełna ścieżka nie jest dostępna, utrzymywana jest trasa do odpowiedniego systemu pod-autonomicznego. Po wymianie wszystkich istotnych informacji podczas inicjalizacji, mówi się, że sieć jest konwergentna, a wszelka przyszła komunikacja będzie wymagała aktualizacji i będzie nadal żywa.
Całkiem proste, prawda? To jest. I to jest właśnie problem, ponieważ jest to ta bardzo prosta prostota, która doprowadziła do bardzo niepokojących luk w zabezpieczeniach.
Dlaczego miałoby mnie to obchodzić?
Wszystko dobrze i dobrze, ale jak to wpływa na kogoś, kto używa swojego komputera do grania w gry wideo i oglądania Netflix? Jedną rzeczą, o której powinien pamiętać każdy użytkownik końcowy, jest to, że Internet jest bardzo podatny na efekt domina, a BGP odgrywa w tym dużą rolę. Jeśli zostanie to wykonane poprawnie, zhakowanie jednego routera BGP może spowodować odmowę usługi dla całego systemu autonomicznego.
Powiedzmy, że prefiks adresu IP dla danego systemu autonomicznego to 10.0.x.x. Router obsługujący BGP w tym AS reklamuje ten prefiks na innych routerach obsługujących BGP w innych systemach autonomicznych. Jest to zazwyczaj przezroczyste dla tysięcy użytkowników końcowych w ramach danego systemu zewnętrznego, ponieważ większość użytkowników domowych jest często odizolowana od działalności na poziomie dostawcy usług internetowych. Świeci słońce, ptaki śpiewają, a ruch internetowy szumi. Jakość zdjęć Netflix, YouTube i Hulu jest nieskazitelnie czysta, a cyfrowe życie nigdy nie było lepsze.
Bez błędów, bez stresu - Twój przewodnik krok po kroku do tworzenia oprogramowania zmieniającego życie bez niszczenia życia
Nie możesz poprawić swoich umiejętności programistycznych, gdy nikt nie dba o jakość oprogramowania.
Powiedzmy teraz, że nikczemna osoba w innym autonomicznym systemie zaczyna reklamować własną sieć jako właściciel prefiksu adresu IP 10.0.x.x. Co gorsza, ten czarny charakter sieci reklamuje, że jego przestrzeń adresowa 10.0.x.x ma niższy koszt niż prawowity właściciel tego prefiksu. (Pod względem kosztów mam na myśli mniej chmielu, większą przepustowość, mniejsze zatory itp. W tym scenariuszu finanse są nieistotne). Nagle cały ruch związany z siecią użytkownika końcowego zostaje nagle przekierowany do innej sieci, a dostawca usług internetowych nie może temu zapobiec.
Scenariusz bardzo podobny do tego, który właśnie wspomniano, miał miejsce 8 kwietnia 2010 r., Kiedy dostawca usług internetowych w Chinach reklamował coś w rodzaju 40 000 fałszywych tras. Przez pełne 18 minut niezliczone ilości ruchu internetowego zostały przekierowane do chińskiego autonomicznego systemu AS23724. W idealnym świecie cały ten niewłaściwie skierowany ruch byłby w zaszyfrowanym tunelu VPN, przez co duża część ruchu byłaby bezużyteczna dla strony przechwytującej, ale można śmiało powiedzieć, że nie jest to idealny świat. (Dowiedz się więcej o VPN w Virtual Private Network: The Branch Office Solution).
Przyszłość BGP
Problem związany z BGP jest także jego największą zaletą: prostotą. Kiedy BGP zaczęło naprawdę zajmować pozycję różnych dostawców usług internetowych na całym świecie, nie zastanawiano się długo nad takimi pojęciami, jak poufność, autentyczność lub ogólne bezpieczeństwo. Administratorzy sieci chcieli po prostu komunikować się ze sobą. Grupa zadaniowa ds. Inżynierii internetowej kontynuuje badania rozwiązań wielu luk w zabezpieczeniach BGP, ale próby zabezpieczenia zdecentralizowanego podmiotu, takiego jak Internet, nie są małym przedsięwzięciem, a miliony ludzi, którzy obecnie korzystają z Internetu, mogą po prostu tolerować sporadyczne wykorzystanie BGP.