Содержание
- Что такое BGP?
- Почему это должно меня волновать?
- Нет ошибок, нет стресса - ваше пошаговое руководство по созданию изменяющего жизнь программного обеспечения без разрушения вашей жизни
- Будущее BGP
вынос:
Когда был разработан BGP, безопасность сети не была проблемой. Вот почему проблема с BGP также является его главным преимуществом: его простота.
Что касается уязвимостей безопасности, многое было сделано из-за переполнения буфера, распределенных атак типа «отказ в обслуживании» и вторжений Wi-Fi. В то время как эти типы атак привлекают достаточно внимания в более популярных ИТ-журналах, блогах и на веб-сайтах, их сексуальная привлекательность часто затмевает область в ИТ-индустрии, которая, возможно, является основой всех интернет-коммуникаций: протокол пограничных шлюзов. (BGP). Как оказалось, этот простой протокол открыт для эксплуатации - и попытка обеспечить его была бы немалым делом. (Чтобы узнать больше о технологических угрозах, см. Вредоносное ПО: Worms, Trojans и Bots, Oh My!)
Что такое BGP?
Протокол пограничного шлюза - это протокол внешнего шлюза, который в основном направляет трафик от одной автономной системы (AS) к другой автономной системе. В этом контексте «автономная система» просто относится к любому домену, над которым интернет-провайдер имеет автономию. Таким образом, если конечный пользователь полагается на AT & T в качестве своего интернет-провайдера, он будет принадлежать к одной из автономных систем AT & T. Соглашение об именах для данной AS, скорее всего, будет выглядеть как AS7018 или AS7132.
BGP использует TCP / IP для поддержки соединений между двумя или более автономными системными маршрутизаторами. Он приобрел широкую популярность в 1990-х годах, когда Интернет рос экспоненциально. Интернет-провайдерам требовался простой способ маршрутизации трафика к узлам в других автономных системах, а простота BGP позволила ему быстро стать стандартом де-факто в междоменной маршрутизации. Таким образом, когда конечный пользователь связывается с кем-то, кто использует другого интернет-провайдера, эти связи будут проходить как минимум два маршрутизатора с поддержкой BGP.
Иллюстрация общего сценария BGP может пролить некоторый свет на действительную механику BGP. Предположим, что два интернет-провайдера заключили соглашение о маршрутизации трафика в соответствующие автономные системы и из них. Как только все документы подписаны и контракты утверждены соответствующими юридическими лицами, фактические сообщения передаются сетевым администраторам. Маршрутизатор с поддержкой BGP в AS1 инициирует связь с маршрутизатором с поддержкой BGP в AS2. Соединение инициируется и поддерживается через порт 179 TCP / IP, и, поскольку это первоначальное соединение, оба маршрутизатора обмениваются друг с другом таблицами маршрутизации.
В таблицах маршрутизации поддерживаются пути к каждому существующему узлу в данной AS. Если полный путь недоступен, маршрут к соответствующей субавтономной системе сохраняется. Как только вся соответствующая информация была обменена во время инициализации, говорят, что сеть конвергентна, и любая будущая связь будет включать в себя обновления и связь "вы еще живы".
Довольно просто, верно? Это. И это именно проблема, потому что именно эта простота привела к очень тревожным уязвимостям.
Почему это должно меня волновать?
Это все хорошо, но как это влияет на человека, который использует свой компьютер для игры в видеоигры и просмотра Netflix? Одна вещь, которую должен иметь в виду каждый конечный пользователь, заключается в том, что Интернет очень восприимчив к эффекту домино, и BGP играет в этом большую роль. Если все сделано правильно, взлом одного BGP-маршрутизатора может привести к отказу в обслуживании всей автономной системы.
Допустим, префикс IP-адреса для данной автономной системы равен 10.0.x.x. Маршрутизатор с поддержкой BGP в этой AS объявляет этот префикс другим маршрутизаторам с поддержкой BGP в других автономных системах. Как правило, это прозрачно для тысяч конечных пользователей в данной AS, так как большинство домашних пользователей часто изолированы от действий на уровне ISP. Солнце светит, птицы поют, интернет-трафик гудит. Качество изображения Netflix, YouTube и Hulu положительно, и цифровая жизнь никогда не была лучше.
Нет ошибок, нет стресса - ваше пошаговое руководство по созданию изменяющего жизнь программного обеспечения без разрушения вашей жизни
Вы не можете улучшить свои навыки программирования, когда никто не заботится о качестве программного обеспечения.
Теперь предположим, что гнусный человек в другой автономной системе начинает рекламировать свою собственную сеть как владельца префикса IP-адреса 10.0.x.x. Что еще хуже, этот сетевой злодей объявляет, что его адресное пространство 10.0.x.x имеет более низкую стоимость, чем законный владелец указанного префикса. (Под стоимостью я подразумеваю меньше прыжков, большую пропускную способность, меньше заторов и т. Д. Финансы не имеют значения в этом сценарии). Внезапно весь трафик, который направлялся в сеть конечного пользователя, внезапно перенаправляется в другую сеть, и провайдер может сделать совсем немного, чтобы предотвратить это.
Сценарий, очень похожий на только что упомянутый, произошел 8 апреля 2010 года, когда интернет-провайдер в Китае рекламировал что-то вроде 40 000 поддельных маршрутов. В течение полных 18 минут неисчислимое количество интернет-трафика было перенаправлено в китайскую автономную систему AS23724. В идеальном мире весь этот неверно направленный трафик был бы внутри зашифрованного VPN-туннеля, что делало бы большую часть трафика бесполезной для перехватывающей стороны, но можно с уверенностью сказать, что это не идеальный мир. (Подробнее о VPN в виртуальной частной сети: решение для филиала).
Будущее BGP
Проблема с BGP также является его главным преимуществом: его простота. Когда BGP действительно начал завоевывать популярность среди различных интернет-провайдеров по всему миру, не слишком много думали о таких понятиях, как конфиденциальность, аутентичность или общая безопасность. Сетевые администраторы просто хотели общаться друг с другом. Инженерная рабочая группа по Интернету продолжает проводить исследования решений для многих уязвимостей в BGP, но попытка обезопасить децентрализованную сущность, такую как Интернет, является немалой задачей, и миллионы людей, которые в настоящее время пользуются Интернетом, могут просто терпеть случайная эксплуатация BGP.