Inhoud
- Wat is BGP?
- Waarom zou ik me druk maken?
- Geen bugs, geen stress - Uw stapsgewijze handleiding voor het creëren van levensveranderende software zonder uw leven te vernietigen
- De toekomst van BGP
Afhaal:
Toen BGP werd ontwikkeld, was netwerkbeveiliging geen probleem. Daarom is het probleem met BGP ook het grootste voordeel: de eenvoud.
In termen van beveiligingskwetsbaarheden is er veel gedaan aan bufferoverloopaanvallen, gedistribueerde denial of service-aanvallen en wifi-inbraken. Hoewel dit soort aanvallen veel aandacht heeft gekregen in de meer populaire IT-tijdschriften, blogs en websites, heeft hun sex-appeal vaak een gebied binnen de IT-industrie overschaduwd dat misschien de ruggengraat is van alle internetcommunicatie: het Border Gateway Protocol (BGP). Het blijkt dat dit eenvoudige protocol open staat voor exploitatie - en proberen het te beveiligen zou geen kleine onderneming zijn. (Voor meer informatie over technologische bedreigingen, zie Schadelijke software: Wormen, Trojaanse paarden en bots, Oh mijn!)
Wat is BGP?
Het Border Gateway-protocol is een extern gateway-protocol dat in principe verkeer van het ene autonome systeem (AS) naar een ander autonoom systeem leidt. In dit verband verwijst "autonoom systeem" eenvoudig naar elk domein waarover een internetserviceprovider (ISP) autonomie heeft. Dus als een eindgebruiker op AT&T vertrouwt als zijn ISP, behoort hij tot een van de autonome systemen van AT&T. De naamgevingsconventie voor een gegeven AS zal er waarschijnlijk uitzien als AS7018 of AS7132.
BGP vertrouwt op TCP / IP om verbindingen tussen twee of meer autonome systeemrouters te onderhouden. Het kreeg grote populariteit in de jaren negentig toen internet exponentieel groeide. ISP's hadden een eenvoudige manier nodig om verkeer naar knooppunten binnen andere autonome systemen te routeren en dankzij de eenvoud van BGP kon het snel de de facto standaard worden in inter-domein routing. Dus wanneer een eindgebruiker communiceert met iemand die een andere ISP gebruikt, zullen die communicatie minimaal twee BGP-routers hebben doorlopen.
Een illustratie van een algemeen BGP-scenario kan enig licht werpen op de feitelijke werking van BGP. Stel dat twee ISP's een overeenkomst aangaan om verkeer van en naar hun respectieve autonome systemen te routeren. Zodra al het papierwerk is ondertekend en de contracten zijn goedgekeurd door hun respectieve juridische instanties, worden de daadwerkelijke communicatie overgedragen aan de netwerkbeheerders. Een BGP-ingeschakelde router in AS1 initieert communicatie met een BGP-ingeschakelde router in AS2. De verbinding wordt geïnitieerd en onderhouden via TCP / IP-poort 179, en aangezien dit een initiële verbinding is, wisselen beide routers routingtabellen met elkaar uit.
Binnen de routingtabellen worden paden naar elk bestaand knooppunt binnen een gegeven AS onderhouden. Als een volledig pad niet beschikbaar is, wordt een route naar het juiste sub-autonome systeem onderhouden. Nadat alle relevante informatie tijdens de initialisatie is uitgewisseld, wordt gezegd dat het netwerk is geconvergeerd en dat toekomstige communicatie updates en u-nog-levende communicatie zal omvatten.
Vrij eenvoudig toch? Het is. En dat is precies het probleem, want het is juist deze eenvoud die tot een aantal zeer verontrustende kwetsbaarheden heeft geleid.
Waarom zou ik me druk maken?
Dit is allemaal goed en wel, maar hoe beïnvloedt dit iemand die zijn computer gebruikt voor het spelen van videogames en het kijken naar Netflix? Een ding dat elke eindgebruiker in gedachten moet houden, is dat internet zeer gevoelig is voor het domino-effect, en BGP speelt hierin een grote rol. Als dit juist wordt gedaan, kan het hacken van één BGP-router leiden tot denial of service voor een volledig autonoom systeem.
Stel dat het IP-voorvoegsel voor een bepaald autonoom systeem 10.0.x.x is. De BGP-ingeschakelde router binnen dit AS adverteert dit voorvoegsel naar andere BGP-ingeschakelde routers binnen andere autonome systemen. Dit is doorgaans transparant voor de duizenden eindgebruikers binnen een bepaald AS, omdat de meeste thuisgebruikers vaak geïsoleerd zijn op het ISP-niveau. De zon schijnt, vogels zingen en internetverkeer zoemt mee. De beeldkwaliteit van Netflix, YouTube en Hulu is absoluut ongerept en het digitale leven is nog nooit zo goed geweest.
Geen bugs, geen stress - Uw stapsgewijze handleiding voor het creëren van levensveranderende software zonder uw leven te vernietigen
U kunt uw programmeervaardigheden niet verbeteren als niemand om softwarekwaliteit geeft.
Laten we zeggen dat een snode persoon binnen een ander autonoom systeem begint te adverteren voor zijn eigen netwerk als eigenaar van het IP-adresprefix 10.0.x.x. Tot overmaat van ramp adverteert deze netwerkschurk dat zijn 10.0.x.x-adresruimte goedkoper is dan de rechtmatige eigenaar van het voorvoegsel. (Met kosten bedoel ik minder hop, meer doorvoer, minder congestie, enz. Financiën zijn in dit scenario niet relevant). Plots wordt al het verkeer dat was gebonden voor het netwerk van de eindgebruiker plotseling omgeleid naar een ander netwerk, en er is gewoon niet veel dat een ISP kan doen om dit te voorkomen.
Een scenario dat erg leek op het scenario dat zojuist werd genoemd, vond plaats op 8 april 2010, toen een ISP in China iets adverteerde in de trant van 40.000 neproutes. Gedurende een volledige 18 minuten werden ongekende hoeveelheden internetverkeer omgeleid naar het Chinese autonome systeem AS23724. In een ideale wereld zou al dit verkeerd geadresseerde verkeer zich in een gecodeerde VPN-tunnel hebben bevonden, waardoor veel van het verkeer onbruikbaar was voor de onderscheppende partij, maar het is veilig om te zeggen dat dit geen ideale wereld is. (Meer informatie over VPN in Virtual Private Network: de oplossing voor filialen.)
De toekomst van BGP
Het probleem met BGP is ook het grootste voordeel: de eenvoud. Toen BGP zich echt begon aan te sluiten bij de verschillende ISP's over de hele wereld, werd niet veel nagedacht over concepten als vertrouwelijkheid, authenticiteit of algehele beveiliging. Netwerkbeheerders wilden gewoon met elkaar communiceren. De Internet Engineering Task Force blijft onderzoek doen naar oplossingen voor de vele kwetsbaarheden binnen BGP, maar proberen een gedecentraliseerde entiteit zoals internet te beveiligen is geen kleine onderneming, en de miljoenen mensen die momenteel internet gebruiken, moeten misschien gewoon de incidentele BGP-exploitatie.