Sınır Ağ Geçidi Protokolü: En Büyük Ağı Güvenlik Açığı?

Yazar: Robert Simon
Yaratılış Tarihi: 24 Haziran 2021
Güncelleme Tarihi: 24 Haziran 2024
Anonim
Sınır Ağ Geçidi Protokolü: En Büyük Ağı Güvenlik Açığı? - Teknoloji
Sınır Ağ Geçidi Protokolü: En Büyük Ağı Güvenlik Açığı? - Teknoloji

İçerik


Paket servisi:

BGP geliştirildiğinde, ağ güvenliği bir sorun değildi. Bu yüzden BGP ile ilgili problem aynı zamanda en büyük avantajı: sadeliği.

Güvenlik açıkları açısından, arabellek taşması saldırılarının, dağıtılmış hizmet reddi saldırılarının ve Wi-Fi saldırılarının çoğu yapılmıştır. Bu tür saldırılar, daha popüler BT dergileri, blogları ve web sitelerinde büyük miktarda dikkat toplamasına rağmen, cinsel çekiciliği, BT endüstrisi içinde belki de tüm internet iletişiminin bel kemiği olan bir alanı gölgelemeye hizmet etti: Sınır Kapısı Protokolü (BGP). Görünen o ki, bu basit protokol sömürüye açık - ve onu güvenceye almaya çalışmak küçük bir girişim olmayacaktı. (Teknolojik tehditler hakkında daha fazla bilgi edinmek için bkz. Kötü Amaçlı Yazılım: Worms, Truva Atları ve Botlar, Oh My!)


BGP Nedir?

Sınır Ağ Geçidi Protokolü, trafiği temel olarak bir otonom sistemden (AS) başka bir otonom sisteme yönlendiren bir dış ağ geçidi protokolüdür. Bu bağlamda, "özerk sistem", bir internet servis sağlayıcısının (ISS) özerkliğe sahip olduğu herhangi bir alanı ifade eder. Bu nedenle, eğer bir son kullanıcı ISS'si olarak AT & T'ye güvenirse, AT & T’nin özerk sistemlerinden birine ait olacaktır. Belirli bir AS için isimlendirme sözleşmesi büyük olasılıkla AS7018 veya AS7132 gibi görünecek.

BGP, iki veya daha fazla özerk sistem yönlendiricisi arasındaki bağlantıları korumak için TCP / IP'ye güvenir. İnternetin üstel bir hızla büyüdüğü 1990'larda geniş bir popülerlik kazandı. ISS'lerin trafiği diğer özerk sistemlerdeki düğümlere yönlendirmek için basit bir yola ihtiyacı vardı ve BGP’nin sadeliği, etki alanları arası yönlendirmede hızlı bir şekilde fiili standart haline gelmesine izin verdi. Bu nedenle, bir son kullanıcı farklı bir ISS kullanan biriyle iletişim kurduğunda, bu iletişim asgari iki BGP etkin yönlendiriciyi geçti.


Ortak bir BGP senaryosunun bir örneği, BGP'nin gerçek mekaniğine biraz ışık tutabilir. İki ISS'nin, kendi özerk sistemlerine giden ve giden trafiği yönlendirmek için bir anlaşmaya girdiğini varsayalım. Tüm evraklar imzalandıktan ve sözleşmeler kendi yasal sözleşmeleri tarafından onaylandıktan sonra, gerçek iletişim ağ yöneticilerine devredilir. AS1'deki BGP etkin bir yönlendirici, AS2'deki BGP etkin bir yönlendirici ile iletişimi başlatır. Bağlantı, TCP / IP portu 179 üzerinden başlatılır ve sürdürülür ve bu ilk bağlantı olduğundan, her iki yönlendirici de yönlendirme tablolarını birbirleriyle değiştirir.

Yönlendirme tablolarında, belirli bir AS içindeki mevcut her düğüme giden yollar korunur. Tam yol mevcut değilse, uygun alt özerk sisteme giden bir rota korunur. Başlatma sırasında tüm ilgili bilgilerin değiş tokuş edildikten sonra, ağın birleştirildiği söylenir ve gelecekteki tüm iletişimler, güncellemeleri ve hala hayatta olan iletişimleri içerecektir.

Oldukça basit değil mi? Bu. Ve bu tam olarak problem, çünkü bu çok basitlik, bazı çok rahatsız edici açıklara yol açmıştır.

Neden umursayayım?

Her şey yolunda ve güzel, ama bu, bilgisayarlarını video oyunları oynamak ve Netflix'i izlemek için kullanan birini nasıl etkiler? Her son kullanıcının aklında tutması gereken şeylerden biri, internetin domino etkisine karşı çok duyarlı olması ve BGP'nin bu konuda büyük bir rolü var. Doğru yapılırsa, bir BGP yönlendiricisini kesmek, tüm özerk bir sistemin hizmet reddine neden olabilir.

Belirli bir özerk sistemin IP adresi önekinin 10.0.x.x olduğunu varsayalım. Bu AS içindeki BGP etkin yönlendirici, bu öneki diğer özerk sistemler içindeki diğer BGP etkin yönlendiricilere tanıtır. Bu, genellikle çoğu ASP'deki gelişmelerden izole edildiği için, belirli bir AS'deki binlerce son kullanıcı için şeffaftır. Güneş parlıyor, kuşlar şarkı söylüyor ve internet trafiği boyunca uğultu geliyor. Netflix, YouTube ve Hulu görüntü kalitesi olumlu bir şekilde bozulmamış ve dijital yaşam hiç bu kadar iyi olmamıştı.

Hata Yok, Stres Yok - Hayatınızı Yok Etmeden Hayat Değiştiren Yazılım Yaratma Adım Adım Kılavuzunuz

Hiç kimse yazılım kalitesiyle ilgilenmediğinde programlama becerilerinizi geliştiremezsiniz.

Şimdi diyelim ki, başka bir özerk sistem içindeki kötü niyetli bir birey, kendi ağını 10.0.x.x IP adresi ön ekinin sahibi olarak tanıtmaya başladı. İşleri daha da kötüleştirmek için, bu ağ hasarı, 10.0.x.x adres alanının, söz konusu ön ekin hak sahibinden daha düşük bir maliyete sahip olduğunu ilan eder. (Maliyete göre, daha az şerbetçiotu, daha fazla verim, daha az tıkanıklık vb. Demek istiyorum). Bu senaryoda finansmanın önemi yoktur). Birdenbire, son kullanıcının ağına bağlanan trafiğin tümü birdenbire başka bir ağa yönlendirilir ve bir ISS'nin bunu önlemek için yapabileceği bir sürü şey yoktur.

Bahsettiğimiz şeye çok benzeyen bir senaryo, 8 Nisan 2010 tarihinde, Çin'deki bir ISS'nin 40.000 sahte rota hattı boyunca bir şey ilan etmesiyle gerçekleşti. 18 dakika boyunca anlatılmamış miktarlarda internet trafiği AS23724 Çin özerk sistemine yönlendirildi. İdeal bir dünyada, bu yanlış yönlendirilen trafiğin tamamı şifrelenmiş bir VPN tünelinin içindeydi, böylece trafiğin çoğunu engelleyen tarafa yararsız hale getiriyordu, ancak bunun ideal bir dünya olmadığını söylemek güvenli. (Sanal Özel Ağ'da VPN hakkında daha fazla bilgi edinin: The Branch Office Solution.)

BGP'nin Geleceği

BGP ile ilgili sorun aynı zamanda en büyük avantajı: sadeliği. BGP, dünyadaki çeşitli ISS'ler arasında gerçekten yer almaya başladığında, gizlilik, orijinallik veya genel güvenlik gibi kavramlara pek fazla düşünülmedi. Ağ yöneticileri sadece birbirleriyle iletişim kurmak istedi. İnternet Mühendisliği Görev Gücü, BGP içerisindeki birçok güvenlik açığı için çözümler geliştirmeye devam ediyor, ancak internet gibi merkezi olmayan bir varlığı güvence altına almak, küçük bir girişim değil ve şu anda interneti kullanan milyonlarca insanın sadece arada sırada BGP sömürüsü.