Πρωτόκολλο πύλης συνοριακής γραμμής: Το μεγαλύτερο ευπάθεια δικτύου όλων;

Συγγραφέας: Robert Simon
Ημερομηνία Δημιουργίας: 24 Ιούνιος 2021
Ημερομηνία Ενημέρωσης: 24 Ιούνιος 2024
Anonim
Πρωτόκολλο πύλης συνοριακής γραμμής: Το μεγαλύτερο ευπάθεια δικτύου όλων; - Τεχνολογία
Πρωτόκολλο πύλης συνοριακής γραμμής: Το μεγαλύτερο ευπάθεια δικτύου όλων; - Τεχνολογία

Περιεχόμενο


Πάρε μακριά:

Όταν αναπτύχθηκε το BGP, η ασφάλεια του δικτύου δεν αποτελούσε πρόβλημα. Αυτός είναι ο λόγος για τον οποίο το πρόβλημα με το BGP είναι επίσης το μεγαλύτερο πλεονέκτημα του: η απλότητα του.

Όσον αφορά τα τρωτά σημεία ασφαλείας, έχουν γίνει πολλά από τις επιθέσεις υπερχείλισης buffer, τις κατανεμημένες επιθέσεις άρνησης παροχής υπηρεσιών και τις εισβολές Wi-Fi. Ενώ αυτοί οι τύποι επιθέσεων έχουν συγκεντρώσει άφθονα ενδιαφέροντα στα πιο δημοφιλή περιοδικά πληροφορικής, ιστολόγια και ιστότοπους, η σεξουαλική τους έκκληση χρησίμευσε συχνά για να επισκιάσει μια περιοχή εντός της βιομηχανίας πληροφορικής που είναι ίσως η ραχοκοκαλιά όλων των επικοινωνιών μέσω Διαδικτύου: (BGP). Όπως αποδεικνύεται, αυτό το απλό πρωτόκολλο είναι ανοιχτό στην εκμετάλλευση - και η προσπάθεια να εξασφαλιστεί δεν θα είναι μικρή επιχείρηση. (Για να μάθετε περισσότερα σχετικά με τις τεχνολογικές απειλές, ανατρέξτε στο Κακόβουλο λογισμικό: Worms, Trojans and Bots, Oh My!)


Τι είναι το BGP;

Το πρωτόκολλο Gateway Gateway είναι ένα πρωτόκολλο εξωτερικής πύλης που βασικά κατευθύνει την κυκλοφορία από ένα αυτόνομο σύστημα (AS) σε ένα άλλο αυτόνομο σύστημα. Σε αυτό το πλαίσιο, το "αυτόνομο σύστημα" αναφέρεται απλώς σε οποιονδήποτε τομέα πάνω στον οποίο ο πάροχος υπηρεσιών διαδικτύου (ISP) διαθέτει αυτονομία. Έτσι, εάν ένας τελικός χρήστης βασίζεται στην AT & T ως ISP του, θα ανήκει σε ένα από τα αυτόνομα συστήματα της AT & T. Η σύμβαση ονοματοθεσίας για ένα δεδομένο AS θα φαίνεται πιθανότατα σαν AS7018 ή AS7132.

Το BGP βασίζεται στο TCP / IP για να διατηρεί συνδέσεις μεταξύ δύο ή περισσότερων αυτόνομων δρομολογητών συστήματος. Έχει κερδίσει μεγάλη δημοτικότητα κατά τη διάρκεια της δεκαετίας του 1990, όταν το Διαδίκτυο αυξανόταν με εκθετικό ρυθμό. Οι ISP χρειάζονταν έναν απλό τρόπο να κατευθύνουν την κυκλοφορία στους κόμβους μέσα σε άλλα αυτόνομα συστήματα και η απλότητα του BGP επέτρεψε να γίνει γρήγορα το de facto πρότυπο στη δρομολόγηση μεταξύ τομέων. Έτσι, όταν ένας τελικός χρήστης επικοινωνεί με κάποιον που χρησιμοποιεί διαφορετικό ISP, αυτές οι επικοινωνίες θα έχουν διασχίσει τουλάχιστον δύο δρομολογητές με δυνατότητα BGP.


Μια απεικόνιση ενός κοινού σεναρίου BGP μπορεί να ρίξει φως στην πραγματική μηχανική του BGP. Ας υποθέσουμε ότι δύο ISP συνάπτουν συμφωνία για τη δρομολόγηση της κυκλοφορίας από και προς τα αντίστοιχα αυτόνομα συστήματα. Μόλις υπογραφεί το σύνολο των εγγράφων και οι συμβάσεις έχουν εγκριθεί από τους αντίστοιχους νομικούς, οι πραγματικές επικοινωνίες μεταβιβάζονται στους διαχειριστές δικτύου. Ένας δρομολογητής με δυνατότητα BGP στο AS1 αρχίζει την επικοινωνία με ένα δρομολογητή με δυνατότητα BGP στο AS2. Η σύνδεση ξεκινάει και συντηρείται μέσω της θύρας TCP / IP 179 και δεδομένου ότι πρόκειται για αρχική σύνδεση, και οι δύο δρομολογητές ανταλλάσσουν πίνακες δρομολόγησης ο ένας με τον άλλο.

Μέσα στους πίνακες δρομολόγησης διατηρούνται οι διαδρομές προς κάθε υπάρχοντα κόμβο εντός ενός δεδομένου AS. Εάν δεν υπάρχει πλήρης διαδρομή, διατηρείται μια διαδρομή προς το κατάλληλο υπο-αυτόνομο σύστημα. Αφού ανταλλάσσονται όλες οι σχετικές πληροφορίες κατά τη διάρκεια της αρχικοποίησης, το δίκτυο λέγεται ότι συγκρίνεται και κάθε μελλοντική επικοινωνία θα περιλαμβάνει ενημερώσεις και επικοινωνίες.

Αρκετά απλό δικαίωμα; Είναι. Και αυτό ακριβώς είναι το πρόβλημα, γιατί αυτή η απλότητα έχει οδηγήσει σε κάποιες πολύ ενοχλητικές ευπάθειες.

Γιατί να με νοιάζει?

Όλα αυτά είναι καλά και καλά, αλλά πώς αυτό επηρεάζει κάποιον που χρησιμοποιεί τον υπολογιστή του για την αναπαραγωγή βιντεοπαιχνιδιών και την παρακολούθηση του Netflix; Ένα πράγμα που πρέπει να λαμβάνει υπόψη ο κάθε τελικός χρήστης είναι ότι το Διαδίκτυο είναι πολύ ευαίσθητο στο φαινόμενο του ντόμινο και το BGP διαδραματίζει σημαντικό ρόλο σε αυτό. Εάν γίνει σωστά, η σάρωση ενός δρομολογητή BGP μπορεί να οδηγήσει σε άρνηση εξυπηρέτησης για ένα ολόκληρο αυτόνομο σύστημα.

Ας υποθέσουμε ότι το πρόθεμα διεύθυνσης IP για ένα δεδομένο αυτόνομο σύστημα είναι 10.0.x.x. Ο δρομολογητής με δυνατότητα BGP σε αυτό το AS διαφημίζει αυτό το πρόθεμα σε άλλους δρομολογητές με δυνατότητα BGP σε άλλα αυτόνομα συστήματα. Αυτό είναι συνήθως διαφανές για τις χιλιάδες τελικούς χρήστες μέσα σε ένα δεδομένο AS, καθώς οι περισσότεροι οικιακοί χρήστες είναι συχνά μονωμένοι από τα βήματα στο επίπεδο ISP. Ο ήλιος λάμπει, τα πουλιά τραγουδούν, και η κίνηση στο διαδίκτυο βουίζει μαζί. Η ποιότητα εικόνας Netflix, YouTube και Hulu είναι θεαματικά καθαρή και η ψηφιακή ζωή δεν ήταν ποτέ καλύτερη.

No Bugs, No Stress - Ο οδηγός σας βήμα προς βήμα για τη δημιουργία λογισμικού που αλλάζει τη ζωή χωρίς να καταστρέφει τη ζωή σας

Δεν μπορείτε να βελτιώσετε τις δεξιότητες προγραμματισμού σας όταν κανείς δεν ενδιαφέρεται για την ποιότητα του λογισμικού.

Τώρα, ας πούμε ότι ένα κακό άτομο μέσα σε ένα άλλο αυτόνομο σύστημα αρχίζει να διαφημίζει το δικό του δίκτυο ως ιδιοκτήτης του προθέματος διεύθυνσης IP 10.0.x.x. Για να κάνει τα πράγματα χειρότερα, αυτός ο κακοποιός του δικτύου διαφημίζει ότι ο χώρος διευθύνσεών του 10.0.x.x έχει χαμηλότερο κόστος από τον νόμιμο ιδιοκτήτη του εν λόγω προθέματος. (Με κόστος, εννοώ λιγότερος λυκίσκος, μεγαλύτερη απόδοση, λιγότερη συμφόρηση κλπ. Τα οικονομικά δεν έχουν σημασία σε αυτό το σενάριο). Ξαφνικά, όλη η κυκλοφορία που ήταν συνδεδεμένη με το δίκτυο του τελικού χρήστη ξαφνικά εκτρέπεται σε άλλο δίκτυο και δεν υπάρχει τίποτα πολύ που ένας ISP μπορεί να κάνει για να αποτρέψει αυτό.

Ένα σενάριο πολύ παρόμοιο με αυτό που μόλις αναφέρθηκε συνέβη στις 8 Απριλίου 2010, όταν ένας πάροχος υπηρεσιών διαδικτύου στην Κίνα διαφημίζει κάτι κατά μήκος των γραμμών 40.000 πλαστών δρομολογίων. Για ένα πλήρες 18 λεπτό, αμέτρητες ποσότητες κίνησης στο διαδίκτυο μεταφέρθηκαν στο κινεζικό αυτόνομο σύστημα AS23724. Σε έναν ιδανικό κόσμο, όλη αυτή η κακή μετακίνηση θα ήταν μέσα σε μια κρυπτογραφημένη σήραγγα VPN, καθιστώντας έτσι μεγάλο μέρος της κυκλοφορίας άχρηστη στο κόμμα που παρεμποδίζει, αλλά είναι ασφαλές να πούμε ότι δεν είναι ένας ιδανικός κόσμος. (Μάθετε περισσότερα σχετικά με το VPN στο Virtual Private Network: Η Λύση του Υποκαταστήματος).

Το μέλλον του BGP

Το πρόβλημα με το BGP είναι επίσης το μεγαλύτερο πλεονέκτημα του: η απλότητα του. Όταν το BGP άρχισε να ασχολείται πραγματικά με τους διάφορους παροχείς υπηρεσιών διαδικτύου σε όλο τον κόσμο, δεν έγινε πολύ σκέψη σε έννοιες όπως η εμπιστευτικότητα, η αυθεντικότητα ή η συνολική ασφάλεια. Οι διαχειριστές δικτύων απλά ήθελαν να επικοινωνούν μεταξύ τους. Η Task Force για τη Μηχανική Διαδικτύου συνεχίζει να διεξάγει μελέτες για λύσεις για τις πολλές ευπάθειες στο BGP, αλλά η προσπάθεια εξασφάλισης μιας αποκεντρωμένης οντότητας, όπως το Διαδίκτυο, δεν είναι μικρή επιχείρηση και τα εκατομμύρια των ανθρώπων που χρησιμοποιούν το Διαδίκτυο ίσως απλώς ανέχονται περιστασιακή εκμετάλλευση του BGP.