Obsah
- Co je BGP?
- Proč bych se měl starat?
- Žádné chyby, žádný stres - Váš průvodce krok za krokem k vytváření softwaru pro změnu života, aniž by došlo ke zničení vašeho života
- Budoucnost BGP
Odnést:
Při vývoji BGP nebyl problém v zabezpečení sítě. Proto je problém s BGP také jeho největší výhodou: jeho jednoduchost.
Pokud jde o bezpečnostní chyby, bylo mnoho provedeno útoky přetečením vyrovnávací paměti, distribuovanými útoky odmítnutí služeb a narušení Wi-Fi. Zatímco tyto typy útoků získaly dostatečné množství pozornosti v populárnějších IT časopisech, blogy a weby, jejich sexuální přitažlivost často sloužila k zastínění oblasti v IT průmyslu, která je možná páteří veškeré internetové komunikace: protokol Border Gateway Protocol (BGP). Ukázalo se, že tento jednoduchý protokol je otevřený vykořisťování - a pokus o jeho zabezpečení by nebyl malým podnikem. (Další informace o technologických hrozbách naleznete v části Škodlivý software: červi, trojské koně a roboty, oh můj!)
Co je BGP?
Border Gateway Protocol je protokol vnější brány, který v zásadě směruje přenos z jednoho autonomního systému (AS) do jiného autonomního systému. V této souvislosti „autonomní systém“ jednoduše odkazuje na jakoukoli doménu, nad níž má poskytovatel internetových služeb (ISP) autonomii. Pokud se tedy konečný uživatel spoléhá na AT&T jako na svého poskytovatele internetových služeb, bude patřit k jednomu z autonomních systémů AT&T. Konvence pojmenování pro daný AS bude s největší pravděpodobností vypadat podobně jako AS7018 nebo AS7132.
BGP spoléhá na TCP / IP, aby udržoval spojení mezi dvěma nebo více autonomními systémovými směrovači. Během 90. let, kdy internet rostl exponenciálně, získal velkou popularitu. Poskytovatelé internetu potřebovali jednoduchý způsob, jak směrovat provoz do uzlů v jiných autonomních systémech, a jednoduchost BGP mu umožnila rychle se stát de facto standardem ve směrování mezi doménami. Když tedy koncový uživatel komunikuje s někým, kdo používá jiného poskytovatele internetových služeb, bude tato komunikace procházet minimálně dvěma směrovači s podporou BGP.
Ilustrace běžného scénáře BGP může osvětlit skutečnou mechaniku BGP. Předpokládejme, že dva poskytovatelé internetových služeb uzavírají dohodu o směrování provozu do a ze svých autonomních systémů. Po podepsání veškerých dokladů a schválení smluv příslušnými právními bígly jsou skutečné komunikace převedeny na správce sítě. Směrovač s podporou BGP v AS1 zahajuje komunikaci s směrovačem s podporou BGP v AS2. Spojení je iniciováno a udržováno prostřednictvím portu TCP / IP 179, a protože se jedná o počáteční připojení, oba směrovače si vzájemně vyměňují směrovací tabulky.
V rámci směrovacích tabulek jsou udržovány cesty ke každému existujícímu uzlu v daném AS. Pokud není k dispozici úplná cesta, bude zachována trasa k příslušnému sub autonomnímu systému. Po výměně všech důležitých informací během inicializace se o síti říká, že je konvergována a jakákoli budoucí komunikace bude zahrnovat aktualizace a stále budete naživu.
Docela jednoduché, že? To je. A to je přesně ten problém, protože je to právě tato jednoduchost, která vedla k některým velmi znepokojujícím zranitelnostem.
Proč bych se měl starat?
To je vše v pořádku, ale jak to ovlivní někoho, kdo používá svůj počítač pro hraní videoher a sledování Netflixu? Jedna věc, kterou by měl mít každý koncový uživatel na paměti, je, že internet je velmi citlivý na dominový efekt, a BGP v tom hraje velkou roli. Pokud bude provedeno správně, hacknutí jednoho routeru BGP může mít za následek odmítnutí služby pro celý autonomní systém.
Řekněme, že předpona IP adresy pro daný autonomní systém je 10,0.x.x. Směrovač s povoleným BGP v tomto AS inzeruje tuto předponu k jiným směrovačům s povoleným BGP v jiných autonomních systémech. To je obvykle transparentní pro tisíce koncových uživatelů v daném AS, protože většina domácích uživatelů je často izolována od dění na úrovni ISP. Slunce svítí, ptáci zpívají a internetový provoz bzučí. Kvalita obrázků Netflix, YouTube a Hulu je pozitivně nedotčená a digitální život nebyl nikdy lepší.
Žádné chyby, žádný stres - Váš průvodce krok za krokem k vytváření softwaru pro změnu života, aniž by došlo ke zničení vašeho života
Nemůžete zlepšit své programovací schopnosti, když se nikdo nestará o kvalitu softwaru.
Nyní řekněme, že nekalý jednotlivec v jiném autonomním systému začíná inzerovat svou vlastní síť jako vlastník předpony IP 10.0.x.x. Aby toho nebylo málo, tato síťoví darebáci inzerují, že jeho adresní prostor 10.0.x.x má nižší náklady než oprávněný vlastník uvedené předpony. (Podle nákladů mám na mysli méně chmele, větší propustnost, menší přetížení atd. V tomto scénáři nejsou finance relevantní). Najednou je veškerý provoz, který byl směrován do sítě koncového uživatele, najednou přesměrován do jiné sítě, a ISP to prostě nemůže udělat, aby tomu zabránil.
Scénář velmi podobný tomu, který byl právě zmíněn, nastal 8. dubna 2010, kdy poskytovatel internetových služeb v Číně inzeroval něco po 40 000 falešných trasách. Celých 18 minut bylo nevyčerpané množství internetového provozu odkloněno do čínského autonomního systému AS23724. V ideálním světě by byl veškerý tento nepřesměrovaný provoz uvnitř šifrovaného tunelu VPN, čímž by se většina provozu stala zbytečnou pro zachycující stranu, ale lze s jistotou říci, že to není ideální svět. (Další informace o VPN ve virtuální soukromé síti: řešení pobočky.)
Budoucnost BGP
Problém s BGP je také jeho největší výhoda: jeho jednoduchost. Když se BGP opravdu začal chovat mezi různými poskytovateli internetových služeb po celém světě, příliš se neuvažovalo o koncepcích, jako je důvěrnost, autentičnost nebo celková bezpečnost. Správci sítě jednoduše chtěli komunikovat mezi sebou. Pracovní skupina pro internetové inženýrství nadále provádí studie řešení mnoha zranitelností v rámci BGP, ale pokus o zabezpečení decentralizovaného subjektu, jako je internet, není malým podnikem a miliony lidí, kteří v současné době používají internet, možná budou muset jednoduše tolerovat příležitostné využívání BGP.