Protokół BGP: co to jest, do czego służy i jak działa
Internet jest podzielony na systemy autonomiczne (AS), a samodzielny system to zestaw routerów ten sam operator wymienia trasy między nimi, aby dostać się z punktu początkowego do miejsca docelowego. Istotne jest, aby operator w swoim AS miał doskonale zaktualizowane trasy, w przeciwnym razie możemy stracić łączność z określonym miejscem docelowym. Organizacja Narodów Zjednoczonych AS jest jak „mały” Internetktóry pozwala na komunikację konkretnego operatora, na przykład jeśli jesteś klientem Movistar i chcesz komunikować się z innym klientem Movistar, cały ruch będzie przechodził przez AS bez korzystania z Internetu (zależy to zasadniczo od tego, jak jest skonfigurowany). Na przykład każda instytucja w Hiszpanii ma co najmniej jeden system autonomiczny (może mieć wiele AS). W systemie autonomicznym routery operatora wymieniają różne ścieżki, aby przejść od punktu początkowego do wewnątrz, bez korzystania z innych AS. Informacje o routingu są dynamicznie dostarczane przez wewnętrzne protokoły routingu bramy(IGP – Internal Gateway Protocol), ten routing jest wewnętrzny dla samego AS i zdecydowana większość korzysta z określonych protokołów, takich jak OSPF lub IS-IS, ale istnieją inne protokoły IGP, takie jak RIP lub EIGRP.
BGP (Border Gateway Protocol) to protokół bramy zewnętrzny lub zewnętrzny, lub zwany także „zarysem”. Ten protokół jest używany do trasy wymiany między różnymi AS , to zadanie jest konieczne, aby umożliwić połączenie między źródłem a miejscem docelowym, gdy ruch musi przechodzić przez różne AS. Na przykład, jeśli naszym operatorem jest Movistar i chcemy skontaktować się z kimś, kto ma Vodafone, konieczne jest, aby nasz ruch przechodził przez Movistar AS oraz Vodafone, aby prawidłowo dotrzeć do miejsca docelowego. Podczas gdy IGP współdzielą trasy w AS, BGP jest odpowiedzialny za współdzielenie tras w innych AS, aby zapewnić łączność między różnymi operatorami.
Gdy skonfigurujemy BGP, będziemy mieć zainstalowane zarówno połączenia wewnętrzne (iBGP) w AS, jak i sesje połączeń zewnętrznych (eBGP) pomiędzy różnymi AS. Niektóre cechy BGP to gwarancja wyboru trasy bez pętli, podejmowanie decyzji o routingu w oparciu o zdefiniowane polityki sieciowe (inżynieria ruchu), takie jak liczba „przeskoków” AS od początku do początku. Atrybut LOCAL-PREF Aby zmienić to zachowanie, ścieżki można również zmienić na podstawie innych atrybutów w BGP.
Dlaczego protokół BGP nie jest bezpieczny?
BGP, jeśli nie zostanie poprawnie skonfigurowany, może prowadzić do ataków, takich jak naruszenie BGP. Jeśli chcesz przejść ze źródła A do miejsca docelowego C, musisz przejść przez B, możliwe jest, że węzeł B „oszukuje” węzeł A, przekazując swój ruch do innego AS, lub że nie zapewnia właściwej trasy bezpośrednio do brakuje ci łączności, ponieważ tak nie jest. możesz uzyskać dostęp do C, jeśli B nie poda Ci informacji. BGP Hijack działa właśnie w ten sposób, kradnąc sesję BGP i wysyłając fałszywe informacje do AS, aby nigdy nie dotarł on do swojego „sąsiada” lub złośliwie (na przykład przez router z innego AS pod naszą kontrolą).
Aby BGP był bezpieczny, musimy chronić się przed złośliwą lub nieprawidłową propagacją ścieżki (z powodu błędu ludzkiego możemy stworzyć cały AS bez łączności). Ważne jest, aby różne routery BGP miały możliwość weryfikacji otrzymywanych informacji w taki czy inny sposób, tak aby mogły same odrzucić te niechciane ścieżki i nie zmieniać ich routingu.
Domyślnie BGP nie zawiera żadnych protokołów bezpieczeństwa, aby tego uniknąć, każdy AS musi stosować nieprawidłowe filtrowanie ścieżek. Zwykle, gdy gubimy drogę, dzieje się tak z powodu błędu ludzkiego, ale może to być również wynikiem cyberprzestępcy, jak to było w przeszłości. BGP może być bezpieczny, jeśli wszystkie AS ogłaszają legalne ścieżki, tj. gdy mają „swoje”.
RPKI na ratunek
RPKI (Resource Public Key Infrastructure) daje nam rozwiązanie, w Internecie istnieją obecnie miliony tras, więc ręczne ich kontrolowanie jest zadaniem niewykonalnym. Ta struktura bezpieczeństwa jest w stanie powiązać trasę z określonym samodzielnym systemem. RPKI używa szyfrowania między różnymi routerami BGP, aby węzły bezpiecznie weryfikowały informacje przed przekazaniem ich do routerów, aby mieć 100% pewność, że jest to poprawna ścieżka. Zalecamy, aby dowiedzieć się więcej na ten temat RPKI na blogu Cloudflare gdzie znajdziesz informacje techniczne.
Jak narzędzie wykrywa, czy nasz dostawca usług internetowych używa protokołu BGP z RPKI
To narzędzie jest odpowiedzialne za weryfikację, czy nasz operator bezpiecznie stosuje BGP, reklamuje legalną ścieżkę Cloudflare, ale zapewnia, że taka reklama jest nieprawidłowa. Jeśli uda nam się załadować stronę, którą obsługujemy tą trasą, oznacza to, że mamy do niej dostęp i nasz dostawca internetu uznał ją za ważną, w przeciwnym razie nie będziemy mieli do niej dostępu, ponieważ operator oznaczył ją jako nieważną.
Pierwszą rzeczą, którą musisz zrobić, to: przejdź do sieci. Czy BGP jest nadal bezpieczny? i kliknij „Wypróbuj swojego dostawcę usług internetowych”, jak pokazano tutaj:
Po kilku sekundach poinformuje nas o wyniku naszego testu, naszym operatorem jest Masmóvil i wydaje się, że nie stosuje tych zabezpieczeń BGP:
Zaraz poniżej otrzymamy ranking różnych operatorów internetowych na całym świecie, który wskaże, czy poprawnie skonfigurowali BGP, czy nie. Na przykład inni operatorzy w Hiszpanii, tacy jak Vodafone, Orange i Movistar, również nie mają tych zabezpieczeń BGP, sądząc po testach Cloudflare. Niektórzy operatorzy (lub firmy AS), którzy wykonali bardzo dobrą robotę, to Telia, NTT i Cloudflare, chociaż inni, tacy jak Cogent lub TATA, są częściowo bezpieczni, ponieważ odfiltrowują swoich rówieśników.