Protocolo de gateway de fronteira: a maior vulnerabilidade de rede de todas?

Autor: Robert Simon
Data De Criação: 24 Junho 2021
Data De Atualização: 24 Junho 2024
Anonim
How Cloudflare Leads Digital Transformation Across the World - Google Cloud Summit São Paulo
Vídeo: How Cloudflare Leads Digital Transformation Across the World - Google Cloud Summit São Paulo

Contente


Leve embora:

Quando o BGP foi desenvolvido, a segurança da rede não era um problema. É por isso que o problema com o BGP também é sua maior vantagem: sua simplicidade.

Em termos de vulnerabilidades de segurança, muito foi feito sobre ataques de estouro de buffer, ataques distribuídos de negação de serviço e invasões de Wi-Fi. Embora esses tipos de ataques tenham atraído muita atenção nas revistas, blogs e sites de TI mais populares, seu apelo sexual costuma servir para ofuscar uma área do setor de TI que talvez seja a espinha dorsal de todas as comunicações na Internet: o Border Gateway Protocol (BGP). Como se vê, esse protocolo simples está aberto à exploração - e tentar protegê-lo não seria uma tarefa pequena. (Para saber mais sobre ameaças tecnológicas, consulte Software Mal-Intencionado: Worms, Trojans e Bots, Oh My!)


O que é o BGP?

O Border Gateway Protocol é um protocolo de gateway externo que basicamente roteia o tráfego de um sistema autônomo (AS) para outro sistema autônomo. Nesse contexto, "sistema autônomo" simplesmente se refere a qualquer domínio sobre o qual um provedor de serviços de Internet (ISP) tenha autonomia. Portanto, se um usuário final confiar na AT&T como seu ISP, ele pertencerá a um dos sistemas autônomos da AT&T. A convenção de nomenclatura para um dado AS provavelmente se parecerá com AS7018 ou AS7132.

O BGP conta com o TCP / IP para manter conexões entre dois ou mais roteadores de sistema autônomos. Ele ganhou grande popularidade nos anos 90, quando a Internet estava crescendo a uma taxa exponencial. Os ISPs precisavam de uma maneira simples de rotear o tráfego para nós dentro de outros sistemas autônomos, e a simplicidade do BGP permitiu que ele se tornasse rapidamente o padrão de fato no roteamento entre domínios. Portanto, quando um usuário final se comunica com alguém que usa um ISP diferente, essas comunicações atravessam um mínimo de dois roteadores habilitados para BGP.


Uma ilustração de um cenário comum de BGP pode lançar alguma luz sobre a mecânica real do BGP. Suponha que dois ISPs assinem um contrato para rotear o tráfego de e para seus respectivos sistemas autônomos. Depois que toda a documentação for assinada e os contratos aprovados pelos respectivos advogados legais, as comunicações reais serão entregues aos administradores da rede. Um roteador habilitado para BGP no AS1 inicia a comunicação com um roteador habilitado para BGP no AS2. A conexão é iniciada e mantida através da porta TCP / IP 179 e, como essa é uma conexão inicial, os dois roteadores trocam tabelas de roteamento entre si.

Nas tabelas de roteamento, os caminhos para todos os nós existentes em um determinado AS são mantidos. Se um caminho completo não estiver disponível, será mantida uma rota para o sistema sub-autônomo apropriado. Depois que todas as informações relevantes forem trocadas durante a inicialização, é dito que a rede está convergida e qualquer comunicação futura envolverá atualizações e comunicações "você ainda está vivo".

Bem simples né? Isto é. E esse é precisamente o problema, porque é essa simplicidade que levou a algumas vulnerabilidades muito perturbadoras.

Por que eu deveria me importar?

Tudo está bem, mas como isso afeta alguém que usa o computador para jogar videogame e assistir à Netflix? Uma coisa que todo usuário final deve ter em mente é que a Internet é muito suscetível ao efeito dominó, e o BGP desempenha um papel importante nisso. Se feito corretamente, invadir um roteador BGP pode resultar em negação de serviço para todo um sistema autônomo.

Digamos que o prefixo do endereço IP para um determinado sistema autônomo seja 10.0.x.x. O roteador habilitado para BGP neste AS anuncia esse prefixo para outros roteadores habilitados para BGP em outros sistemas autônomos. Isso geralmente é transparente para os milhares de usuários finais em um determinado AS, pois a maioria dos usuários domésticos geralmente é isolada desde o início no nível do ISP. O sol está brilhando, os pássaros estão cantando e o tráfego da Internet está zumbindo. A qualidade de imagem do Netflix, YouTube e Hulu é positiva, e a vida digital nunca foi tão boa.

Sem erros, sem estresse - seu guia passo a passo para criar software que muda vidas sem destruir sua vida

Você não pode melhorar suas habilidades de programação quando ninguém se importa com a qualidade do software.

Agora, digamos que um indivíduo nefasto dentro de outro sistema autônomo comece a anunciar sua própria rede como proprietário do prefixo de endereço IP 10.0.x.x. Para piorar a situação, esse vilão da rede anuncia que seu espaço de endereço 10.0.x.x tem um custo menor do que o legítimo proprietário do referido prefixo. (Por custo, quero dizer menos saltos, mais produtividade, menos congestionamentos, etc. As finanças são irrelevantes nesse cenário). De repente, todo o tráfego vinculado à rede do usuário final é repentinamente desviado para outra rede, e não há muito o que um ISP possa fazer para evitar isso.

Um cenário muito semelhante ao que acabei de mencionar ocorreu em 8 de abril de 2010, quando um ISP na China anunciou algo como 40.000 rotas falsas. Durante 18 minutos, quantidades incontáveis ​​de tráfego da Internet foram desviadas para o sistema autônomo chinês AS23724. Em um mundo ideal, todo esse tráfego mal direcionado estaria dentro de um túnel de VPN criptografado, tornando assim grande parte do tráfego inútil para a parte interceptadora, mas é seguro dizer que esse não é um mundo ideal. (Saiba mais sobre a VPN na rede virtual privada: a solução da filial).

O futuro do BGP

O problema com o BGP também é sua maior vantagem: sua simplicidade. Quando o BGP começou a se firmar entre os diferentes ISPs ao redor do mundo, não se pensou muito em conceitos como confidencialidade, autenticidade ou segurança geral. Os administradores de rede simplesmente queriam se comunicar. A Força-Tarefa de Engenharia da Internet continua conduzindo estudos sobre soluções para as muitas vulnerabilidades do BGP, mas tentar garantir uma entidade descentralizada como a Internet não é uma tarefa pequena, e os milhões de pessoas que atualmente usam a Internet podem ter que simplesmente tolerar o exploração ocasional de BGP.