Vsebina
- Kaj je BGP?
- Zakaj bi me skrbelo?
- Brez napak, brez stresa - vaš korak za korakom vodnik za ustvarjanje programske opreme, ki spreminja življenje, ne da bi vam uničila življenje
- Prihodnost BGP
Odvzem:
Ko je bil razvit BGP, varnost omrežja ni bila težava. Zato je težava z BGP tudi njegova največja prednost: njegova preprostost.
Kar zadeva ranljivosti varnosti, je bilo veliko narejenih zaradi napadov prelivanja medpomnilnikov, porazdeljenih napadov zavrnitve storitev in vdorov v Wi-Fi. Medtem ko so tovrstni napadi pritegnili veliko pozornosti v bolj priljubljenih IT revijah, blogih in spletnih mestih, je njihov seksapil pogosto služil zasenčenju območja znotraj IT industrije, ki je morda hrbtenica vseh internetnih komunikacij: Border Gateway Protocol (BGP). Kot kaže, je ta preprost protokol odprt za izkoriščanje - in poskus njegovega varovanja ne bi bil majhen podvig. (Če želite izvedeti več o tehnoloških grožnjah, glejte Zlonamerna programska oprema: Worms, Trojans in Bots, Oh My!)
Kaj je BGP?
Border Gateway Protocol je protokol za zunanji prehod, ki v osnovi usmerja promet iz enega avtonomnega sistema (AS) v drug avtonomni sistem. V tem smislu se "avtonomni sistem" preprosto nanaša na katero koli domeno, nad katero ima avtonomni ponudnik internetnih storitev. Če se končni uporabnik za I&O zanese kot svoj ponudnik internetnih storitev, bo pripadal enemu od avtonomnih sistemov AT&T. Konvencija o poimenovanju za dani AS bo najverjetneje videti nekako kot AS7018 ali AS7132.
BGP se za vzdrževanje povezav med dvema ali več avtonomnimi usmerjevalniki sistema opira na TCP / IP. Široko priljubljenost je pridobila v devetdesetih letih prejšnjega stoletja, ko je internet naraščal z eksponentno hitrostjo. Dajalci internetnih storitev so potrebovali preprost način za usmerjanje prometa na vozlišča znotraj drugih avtonomnih sistemov, preprostost BGP-ja pa je omogočila, da je hitro postal dejanski standard pri usmerjanju med domenami. Ko končni uporabnik komunicira z nekom, ki uporablja drug ponudnik internetnih storitev, bo ta komunikacija prešla vsaj dva usmerjevalnika, ki podpirata BGP.
Ponazoritev skupnega scenarija BGP lahko osvetli dejansko mehaniko BGP. Predpostavimo, da dva ponudnika internetnih storitev skleneta dogovor o usmerjanju prometa v avtonomne sisteme in z njih. Ko so vsa dokumentacija podpisana in pogodbe odobrijo njihovi pravni člani, se dejanska sporočila prenesejo na skrbnike omrežij. Usmerjevalnik, ki podpira BGP v AS1, začne komunikacijo z usmerjevalnikom, ki podpira BGP, v AS2. Povezava se sproži in vzdržuje prek TCP / IP pristanišča 179, in ker je to začetna povezava, oba usmerjevalnika izmenjujeta tabele poti.
Znotraj tabel za usmerjanje se vzdržujejo poti do vsakega obstoječega vozlišča znotraj določenega AS. Če polna pot ni na voljo, se vodi pot do ustreznega podavtonomnega sistema. Ko so med inicializacijo izmenjene vse ustrezne informacije, naj bi bilo omrežje konvergirano in vsa prihodnja komunikacija bo vključevala posodobitve in komunikacije, ki ste še vedno živi.
Precej preprosto? Je. In ravno v tem je težava, ker je prav ta preprostost povzročila nekatere zelo moteče ranljivosti.
Zakaj bi me skrbelo?
To je vse dobro in dobro, ampak kako to vpliva na nekoga, ki uporablja svoj računalnik za igranje video iger in gledanje Netflixa? Ena stvar, ki jo mora imeti vsak končni uporabnik, je, da je internet zelo dovzeten za domino učinek in BGP ima pri tem veliko vlogo. Če pravilno storite, bi lahko s krajo enega usmerjevalnika BGP zavrnili storitev za celoten avtonomni sistem.
Recimo, da je predpona IP naslova za dani avtonomni sistem 10.0.x.x. Usmerjevalnik, ki podpira BGP znotraj tega AS, oglašuje to predpono drugim usmerjevalnikom, ki podpirajo BGP, v drugih avtonomnih sistemih. To je običajno pregledno za tisoče končnih uporabnikov znotraj danega AS, saj je večina domačih uporabnikov pogosto izolirana od napak na ravni ponudnika internetnih storitev. Sonce sije, ptiči pojejo, internetni promet pa šviga. Kakovost slik Netflix, YouTube in Hulu je pozitivno neokrnjena, digitalno življenje pa nikoli ni bilo boljše.
Brez napak, brez stresa - vaš korak za korakom vodnik za ustvarjanje programske opreme, ki spreminja življenje, ne da bi vam uničila življenje
Ne morete izboljšati svojih programskih veščin, kadar nikogar ne skrbi za kakovost programske opreme.
Recimo, da zlobni posameznik v drugem avtonomnem sistemu začne oglaševati svoje omrežje kot lastnik predpone predpisa IP 10.0.x.x. Da bi bilo stanje še slabše, ta negativnik v omrežju oglašuje, da ima njegov naslov 10.0.x.x nižji strošek kot zakoniti lastnik omenjene predpone. (Pod stroški mislim manj hmelja, več pretoka, manj zastojev itd. Financiranja v tem scenariju niso pomembna). Kar naenkrat se ves promet, ki je bil omejen na omrežje končnega uporabnika, nenadoma preusmeri v drugo omrežje, zato ISP ne more storiti toliko, da bi to preprečil.
Zelo podoben že omenjenemu scenariju se je zgodil 8. aprila 2010, ko je ponudnik internetnih storitev na Kitajskem nekaj oglaševal v smeri 40.000 lažnih poti. Polnih 18 minut so neporabljene količine internetnega prometa preusmerile na kitajski avtonomni sistem AS23724. V idealnem svetu bi bil ves ta napačno usmerjen promet znotraj šifriranega tunela VPN, s čimer bi bila večina prometa nekoristna za prestrezno stran, vendar je mogoče trditi, da to ni idealen svet. (Več o VPN v virtualnem zasebnem omrežju: Rešitev podružnice.)
Prihodnost BGP
Problem BGP je tudi njegova največja prednost: njegova preprostost. Ko se je BGP res začel uveljavljati med različnimi ponudniki internetnih storitev po vsem svetu, ni bilo veliko razmišljanja o pojmih, kot so zaupnost, pristnost ali splošna varnost. Omrežni skrbniki so preprosto želeli komunicirati drug z drugim. Delovna skupina za internetni inženiring še naprej izvaja študije o rešitvah za številne ranljivosti v BGP-u, vendar poskušati zagotoviti decentralizirano entiteto, kot je internet, ni majhno podjetje in milijoni ljudi, ki trenutno uporabljajo internet, bodo morda morali preprosto prenašati občasno izkoriščanje BGP.