Border Gateway Protocol: Die größte Sicherheitslücke im Netzwerk?

Autor: Robert Simon
Erstelldatum: 24 Juni 2021
Aktualisierungsdatum: 24 Juni 2024
Anonim
Border Gateway Protocol: Die größte Sicherheitslücke im Netzwerk? - Technologie
Border Gateway Protocol: Die größte Sicherheitslücke im Netzwerk? - Technologie

Inhalt


Wegbringen:

Bei der Entwicklung von BGP war die Netzwerksicherheit kein Problem. Deshalb ist das Problem mit BGP auch sein größter Vorteil: seine Einfachheit.

In Bezug auf Sicherheitslücken wurde viel Wert auf Pufferüberlaufangriffe, verteilte Denial-of-Service-Angriffe und Wi-Fi-Angriffe gelegt. Während diese Art von Angriffen in den populäreren IT-Magazinen, Blogs und Websites viel Aufmerksamkeit erregt hat, hat ihr Sexappeal oft dazu beigetragen, einen Bereich in der IT-Branche zu überschatten, der möglicherweise das Rückgrat aller Internetkommunikation darstellt: das Border Gateway Protocol (BGP). Wie sich herausstellt, kann dieses einfache Protokoll ausgenutzt werden - und der Versuch, es abzusichern, wäre kein kleines Unterfangen. (Weitere Informationen zu technologischen Bedrohungen finden Sie unter Schädliche Software: Würmer, Trojaner und Bots, oh mein Gott!)

Was ist BGP?

Das Border Gateway-Protokoll ist ein externes Gateway-Protokoll, das den Verkehr von einem autonomen System (AS) zu einem anderen autonomen System weiterleitet. In diesem Zusammenhang bezieht sich "autonomes System" einfach auf jede Domäne, über die ein Internetdienstanbieter (ISP) Autonomie hat. Wenn sich ein Endbenutzer auf AT & T als seinen ISP verlässt, gehört er zu einem der autonomen Systeme von AT & T. Die Namenskonvention für ein bestimmtes AS sieht höchstwahrscheinlich wie AS7018 oder AS7132 aus.


BGP ist auf TCP / IP angewiesen, um Verbindungen zwischen zwei oder mehr autonomen Systemroutern aufrechtzuerhalten. In den 1990er Jahren, als das Internet exponentiell wuchs, erlangte es große Beliebtheit. ISPs brauchten eine einfache Möglichkeit, den Datenverkehr an Knoten in anderen autonomen Systemen weiterzuleiten, und die Einfachheit von BGP ermöglichte es, schnell zum De-facto-Standard für das domänenübergreifende Routing zu werden. Wenn ein Endbenutzer mit einer Person kommuniziert, die einen anderen ISP verwendet, hat diese Kommunikation mindestens zwei BGP-fähige Router durchlaufen.

Ein Beispiel für ein häufiges BGP-Szenario kann Aufschluss über die tatsächliche Funktionsweise von BGP geben. Angenommen, zwei Internetdienstanbieter schließen eine Vereinbarung über die Weiterleitung von Verkehr zu und von ihren jeweiligen autonomen Systemen. Sobald alle Dokumente unterschrieben und die Verträge von den zuständigen Behörden genehmigt wurden, werden die eigentlichen Mitteilungen an die Netzwerkadministratoren weitergeleitet. Ein BGP-fähiger Router in AS1 initiiert die Kommunikation mit einem BGP-fähigen Router in AS2. Die Verbindung wird über den TCP / IP-Port 179 initiiert und aufrechterhalten. Da es sich um eine Erstverbindung handelt, tauschen beide Router Routingtabellen miteinander aus.


Innerhalb der Routingtabellen werden Pfade zu jedem vorhandenen Knoten innerhalb eines bestimmten AS verwaltet. Wenn kein vollständiger Pfad verfügbar ist, wird eine Route zum entsprechenden subautonomen System beibehalten. Sobald alle relevanten Informationen während der Initialisierung ausgetauscht wurden, wird das Netzwerk als konvergiert bezeichnet. Zukünftige Kommunikationen umfassen Aktualisierungen und Kommunikation, wenn Sie noch am Leben sind.

Ziemlich einfach, oder? Es ist. Und genau das ist das Problem, denn gerade diese Einfachheit hat zu einigen sehr störenden Schwachstellen geführt.

Warum sollte es mich kümmern?

Das ist alles schön und gut, aber wie wirkt sich das auf jemanden aus, der seinen Computer zum Spielen von Videospielen und zum Ansehen von Netflix verwendet? Eine Sache, die jeder Endbenutzer beachten sollte, ist, dass das Internet sehr anfällig für den Dominoeffekt ist, und BGP spielt dabei eine große Rolle. Wenn dies korrekt durchgeführt wird, kann das Hacken eines BGP-Routers zu einem Denial-of-Service für ein gesamtes autonomes System führen.

Angenommen, das IP-Adresspräfix für ein bestimmtes autonomes System lautet 10.0.x.x. Der BGP-fähige Router in diesem AS kündigt dieses Präfix anderen BGP-fähigen Routern in anderen autonomen Systemen an. Dies ist in der Regel für Tausende von Endbenutzern in einem bestimmten AS transparent, da die meisten Heimbenutzer häufig von den Vorgängen auf ISP-Ebene isoliert sind. Die Sonne scheint, Vögel singen und der Internetverkehr summt. Die Bildqualität von Netflix, YouTube und Hulu ist unberührt und das digitale Leben war noch nie so gut.

Keine Bugs, kein Stress - Ihre schrittweise Anleitung zur Erstellung lebensverändernder Software, ohne Ihr Leben zu zerstören

Sie können Ihre Programmierkenntnisse nicht verbessern, wenn sich niemand um die Softwarequalität kümmert.

Angenommen, eine schändliche Person innerhalb eines anderen autonomen Systems beginnt, ihr eigenes Netzwerk als Eigentümer des IP-Adresspräfixes 10.0.x.x zu bewerben. Um die Sache noch schlimmer zu machen, wirbt dieser Netzwerk-Bösewicht dafür, dass sein 10.0.x.x-Adressraum niedrigere Kosten verursacht als der rechtmäßige Besitzer dieses Präfixes. (Mit Kosten meine ich weniger Hopfen, mehr Durchsatz, weniger Überlastung usw.). Die Finanzen sind in diesem Szenario irrelevant. Plötzlich wird der gesamte Datenverkehr, der für das Netzwerk des Endbenutzers bestimmt war, plötzlich auf ein anderes Netzwerk umgeleitet. Ein Internetdienstanbieter kann jedoch nicht viel tun, um dies zu verhindern.

Ein Szenario, das dem gerade erwähnten sehr ähnlich ist, ereignete sich am 8. April 2010, als ein ISP in China etwas in der Art von 40.000 Scheinrouten ankündigte. 18 Minuten lang wurden unzählige Internet-Zugriffe auf das autonome chinesische System AS23724 umgeleitet. In einer idealen Welt hätte sich der gesamte fehlgeleitete Datenverkehr in einem verschlüsselten VPN-Tunnel befunden, wodurch ein Großteil des Datenverkehrs für die abfangende Partei nutzlos geworden wäre. Es ist jedoch sicher, dass dies keine ideale Welt ist. (Weitere Informationen zu VPN in Virtual Private Network: Die Branch Office-Lösung.)

Die Zukunft von BGP

Das Problem mit BGP ist auch sein größter Vorteil: seine Einfachheit. Als sich BGP bei den verschiedenen Internetdienstanbietern auf der ganzen Welt durchsetzte, wurde nicht viel über Konzepte wie Vertraulichkeit, Authentizität oder allgemeine Sicherheit nachgedacht. Netzwerkadministratoren wollten einfach nur miteinander kommunizieren. Die Internet Engineering Task Force führt weiterhin Studien zu Lösungen für die zahlreichen Sicherheitslücken in BGP durch. Der Versuch, eine dezentrale Einheit wie das Internet zu sichern, ist jedoch kein kleines Unterfangen, und die Millionen von Menschen, die derzeit das Internet nutzen, müssen dies möglicherweise einfach tolerieren gelegentliche BGP-Ausbeutung.