Innehåll
- Vad är BGP?
- Varför skulle jag bry mig?
- Inga buggar, ingen stress - din steg-för-steg-guide för att skapa livsförändrad programvara utan att förstöra ditt liv
- Framtiden för BGP
Hämtmat:
När BGP utvecklades var nätverkssäkerhet inte ett problem. Det är därför problemet med BGP också är dess största fördel: dess enkelhet.
När det gäller säkerhetssårbarheter har mycket gjorts av buffertöverskridningsattacker, distribuerade attacker för denial of service och Wi-Fi-intrång. Medan dessa typer av attacker har fått tillräckligt mycket uppmärksamhet inom de mer populära IT-tidningarna, bloggarna och webbplatserna, har deras sexappel ofta tjänat till att överskugga ett område inom IT-branschen som kanske är ryggraden i all internetkommunikation: Border Gateway-protokollet (BGP). Det visar sig att detta enkla protokoll är öppet för exploatering - och att försöka säkra det skulle inte vara något litet företag. (För att lära dig mer om teknologiska hot, se skadlig programvara: maskar, trojaner och bots, Oh My!)
Vad är BGP?
Border Gateway-protokollet är ett yttre gateway-protokoll som i princip dirigerar trafik från ett autonomt system (AS) till ett annat autonomt system. I detta läge avser "autonomt system" helt enkelt alla domäner som en internetleverantör (ISP) har autonomi över. Så om en slutanvändare förlitar sig på AT&T som sin ISP, kommer han att tillhöra ett av AT & T: s autonoma system. Namnkonventionen för ett givet AS kommer sannolikt att se ut som AS7018 eller AS7132.
BGP förlitar sig på TCP / IP för att upprätthålla anslutningar mellan två eller flera autonoma system routrar. Det fick stor popularitet under 1990-talet då internet växte exponentiellt. ISP: er behövde ett enkelt sätt att dirigera trafik till noder inom andra autonoma system, och BGP: s enkelhet gjorde det möjligt att snabbt bli de facto-standarden för routing mellan domäner. Så när en slutanvändare kommunicerar med någon som använder en annan internetleverantör, kommer denna kommunikation att ha korsat minst två BGP-aktiverade routrar.
En illustration av ett vanligt BGP-scenario kan kasta lite ljus på den faktiska mekaniken för BGP. Anta att två Internetleverantörer ingår ett avtal för att dirigera trafik till och från deras respektive autonoma system. När alla pappersarbete har undertecknats och kontrakten har godkänts av deras respektive lagliga beaglar, överlämnas den faktiska kommunikationen till nätverksadministratörerna. En BGP-aktiverad router i AS1 initierar kommunikation med en BGP-aktiverad router i AS2. Anslutningen initieras och upprätthålls via TCP / IP-port 179, och eftersom detta är en initial anslutning utbyter båda routrarna routingtabeller med varandra.
Inom routingtabellerna upprätthålls vägar till varje befintlig nod inom ett givet AS. Om en fullständig sökväg inte är tillgänglig upprätthålls en rutt till lämpligt sub-autonomt system. När all relevant information har utbytts under initieringen sägs nätverket vara konvergerat, och all framtida kommunikation kommer att involvera uppdateringar och livskommunikation.
Ganska enkelt rätt? Det är. Och det är just problemet, eftersom det är just denna enkelhet som har lett till några mycket störande sårbarheter.
Varför skulle jag bry mig?
Allt är bra och bra, men hur påverkar det någon som använder sin dator för att spela videospel och titta på Netflix? En sak som varje slutanvändare bör tänka på är att internet är mycket mottagligt för dominoeffekten, och BGP spelar en stor roll i detta. Om du gör det korrekt kan hacking av en BGP-router leda till att tjänsten förnekas för ett helt autonomt system.
Låt oss säga att IP-adressprefixet för ett givet autonomt system är 10.0.x.x. Den BGP-aktiverade routern inom detta AS annonserar detta prefix till andra BGP-aktiverade routrar inom andra autonoma system. Detta är vanligtvis transparent för de tusentals slutanvändare inom ett givet AS, eftersom de flesta hemmabrukare ofta isoleras från fortsättningen på ISP-nivån. Solen skiner, fåglar sjunger och internettrafiken surrar. Netflix, YouTube och Hulu bildkvalitet är positivt orörda och det digitala livet har aldrig varit bättre.
Inga buggar, ingen stress - din steg-för-steg-guide för att skapa livsförändrad programvara utan att förstöra ditt liv
Du kan inte förbättra dina programmeringsfärdigheter när ingen bryr sig om mjukvarukvalitet.
Låt oss nu säga att en besviken individ inom ett annat autonomt system börjar marknadsföra sitt eget nätverk som ägare till IP-adressprefixet 10.0.x.x. För att göra saken värre annonserar denna nätverksskurk att hans adressutrymme på 10.0.x.x har en lägre kostnad än den rättmätiga ägaren till nämnda prefix. (Med kostnad menar jag färre humle, mer genomströmning, mindre trängsel osv. Ekonomi är irrelevant i det här scenariot). Plötsligt vidarebefordras plötsligt all trafik som var bunden för slutanvändarnas nätverk till ett annat nätverk, och det finns bara en hel del som en ISP kan göra för att förhindra detta.
Ett scenario som mycket liknar det som just nämnde inträffade den 8 april 2010, då en internetleverantör inom Kina annonserade något i linje med 40 000 falska rutter. Under hela 18 minuter omdirigerades otaliga mängder internettrafik till det kinesiska autonoma systemet AS23724. I en idealvärld skulle all den felaktiga trafiken ha varit i en krypterad VPN-tunnel och därmed gjort mycket av trafiken värdelös för den avlyssnande parten, men det är säkert att säga att detta inte är en idealvärld. (Läs mer om VPN i Virtual Private Network: The Branch Office Solution.)
Framtiden för BGP
Problemet med BGP är också dess största fördel: dess enkelhet. När BGP började verkligen ta tag i de olika internetleverantörerna runt om i världen, tänkte man inte mycket på begrepp som konfidentialitet, äkthet eller allmän säkerhet. Nätverksadministratörer ville helt enkelt kommunicera med varandra. Internet Engineering Task Force fortsätter att genomföra studier av lösningar för de många sårbarheterna inom BGP, men att försöka säkra en decentraliserad enhet som internet är inget litet företag, och de miljoner människor som för närvarande använder internet kan helt enkelt tåla enstaka utnyttjande av BGP.