Sisältö
- Mikä on BGP?
- Miksi minun pitäisi välittää?
- Ei vikoja, ei stressiä - vaiheittaiset ohjeet elämää muuttavien ohjelmistojen luomiseen tuhoamatta elämääsi
- BGP: n tulevaisuus
Ottaa mukaan:
Kun BGP kehitettiin, verkkoturvallisuus ei ollut ongelma. Siksi BGP: n ongelma on myös sen suurin etu: yksinkertaisuus.
Turvallisuushaavoittuvuuksien suhteen on paljon tehty puskurin ylivuotohyökkäyksistä, hajautettujen palvelunestohyökkäysten ja Wi-Fi-tunkeutumisten vuoksi. Vaikka tämäntyyppiset hyökkäykset ovat saaneet runsaasti huomiota suosituimmissa IT-aikakauslehdissä, blogeissa ja verkkosivustoissa, heidän seksipyyntönsä on usein varjellut tietotekniikka-alan alueen, joka on ehkä kaiken Internet-viestinnän selkäranka: Border Gateway Protocol (BGP). Kuten käy ilmi, tämä yksinkertainen protokolla on avoin hyväksikäyttöön - ja sen turvaaminen ei olisi pieni yritys. (Lisätietoja teknologisista uhista on ohjeaiheessa Haittaohjelmat: matoja, troijalaisia ja robotteja, Voi minun!)
Mikä on BGP?
Rajaväyläprotokolla on ulkoinen yhdyskäytäväprotokolla, joka reitittää liikenteen periaatteessa yhdestä autonomisesta järjestelmästä toiseen autonomiseen järjestelmään. Tässä yhteydessä "autonominen järjestelmä" tarkoittaa yksinkertaisesti mitä tahansa verkkotunnusta, jolla Internet-palveluntarjoajalla (ISP) on autonomia. Joten, jos loppukäyttäjä luottaa palveluntarjoajakseen AT&T: hen, hän kuuluu johonkin AT & T: n autonomisista järjestelmistä. Tietyn AS: n nimeämiskäytäntö näyttää todennäköisesti siltä kuin AS7018 tai AS7132.
BGP luottaa TCP / IP: hen ylläpitää yhteyksiä kahden tai useamman itsenäisen järjestelmän reitittimen välillä. Se sai laajan suosion 1990-luvulla, kun Internet kasvoi eksponentiaalisella nopeudella. Internet-palveluntarjoajat tarvitsivat yksinkertaisen tavan liikenteen ohjaamiseksi solmukohtiin muissa autonomisissa järjestelmissä, ja BGP: n yksinkertaisuus antoi siitä nopeasti tulla tosiasialliseksi standardiksi toimialueiden välisessä reitityksessä. Joten kun loppukäyttäjä kommunikoi toisen ISP: tä käyttävän henkilön kanssa, kyseinen viestintä on kulkenut vähintään kaksi BGP-yhteensopivaa reititintä.
Esimerkki tavallisesta BGP-skenaariosta saattaa valaista jonkin verran BGP: n todellista mekaniikkaa. Oletetaan, että kaksi Internet-palveluntarjoajaa tekee sopimuksen liikenteen reitittämisestä omiin autonomisiin järjestelmiinsa ja niistä pois. Kun kaikki paperityöt on allekirjoitettu ja sopimukset on hyväksytty vastaavilla laillisilla beaggeilla, varsinainen tiedonsiirto siirretään verkonvalvojille. AS1: n BGP-yhteensopiva reititin aloittaa tiedonsiirron ASG: n BGP-yhteensopivan reitittimen kanssa. Yhteys aloitetaan ja ylläpidetään TCP / IP-portin 179 kautta, ja koska tämä on alkuperäinen yhteys, molemmat reitittimet vaihtavat reititystaulukoita keskenään.
Reititystaulukoissa ylläpidetään polkuja jokaiselle tietyn AS: n olemassa olevalle solmulle. Jos täydellistä polkua ei ole saatavilla, reitti sopivaan autonomiseen järjestelmään ylläpidetään. Kun kaikki asiaankuuluvat tiedot on vaihdettu alustuksen aikana, verkon sanotaan olevan lähentymässä, ja tulevaan viestintään liittyy päivityksiä ja viestejä, jotka olette vielä elossa.
Aika yksinkertainen eikö? Se on. Ja se on juuri ongelma, koska se juuri tämä yksinkertaisuus on johtanut erittäin häiritseviin haavoittuvuuksiin.
Miksi minun pitäisi välittää?
Tämä on kaikki hyvin, mutta miten tämä vaikuttaa henkilöihin, jotka käyttävät tietokonetta videopelien pelaamiseen ja Netflixin katsomiseen? Yksi asia, joka jokaisen loppukäyttäjän tulisi pitää mielessä, on se, että Internet on erittäin herkkä dominovaikutukselle ja BGP: llä on tässä suuri merkitys. Jos se tehdään oikein, yhden BGP-reitittimen hakkerointi voi johtaa palvelun epäämiseen koko autonomiselle järjestelmälle.
Oletetaan, että tietyn autonomisen järjestelmän IP-osoitteen etuliite on 10.0.x.x. Tämän AS: n BGP-yhteensopiva reititin mainostaa tätä etuliitettä muille BGP-yhteensopiville reitittimille muiden autonomisten järjestelmien sisällä. Tämä on tyypillisesti läpinäkyvää tuhansille loppukäyttäjille tietyn liitännäisjärjestelmän sisällä, koska suurin osa kotikäyttäjistä on usein eristetty Internet-palveluntarjoajan tasolla tapahtuvista tapahtumista. Aurinko paistaa, linnut laulavat ja Internet-liikenne hyppää pitkin. Netflix-, YouTube- ja Hulu-kuvanlaatu on positiivisesti koskematon, ja digitaalinen elämä ei ole koskaan ollut parempi.
Ei vikoja, ei stressiä - vaiheittaiset ohjeet elämää muuttavien ohjelmistojen luomiseen tuhoamatta elämääsi
Et voi parantaa ohjelmointitaitojasi, kun kukaan ei välitä ohjelmiston laadusta.
Oletetaan nyt, että toisen autonomisen järjestelmän turmeltunut henkilö alkaa mainostaa omaa verkkoaan 10.0.x.x -osoitteen etuliitteen omistajana. Pahemman tilanteen vuoksi tämä verkon konna mainostaa, että hänen 10.0.x.x -osoitealueellaan on alhaisemmat kustannukset kuin mainitun etuliitteen laillisella omistajalla. (Kustannuksilla tarkoitan vähemmän humalaa, enemmän läpimenoa, vähemmän ruuhkia jne. Rahoituksella ei ole merkitystä tässä skenaariossa). Yhtäkkiä kaikki loppukäyttäjän verkkoon sidottu liikenne ohjataan yhtäkkiä toiseen verkkoon, eikä Internet-palveluntarjoaja voi vain tehdä kovin paljon tämän estämiseksi.
Äskettäin mainitun kaltainen skenaario tapahtui 8. huhtikuuta 2010, kun Kiinassa sijaitseva Internet-palveluntarjoaja mainosti jotain 40 000 vääriä reittejä pitkin. Koko 18 minuutin ajaksi suunnattomia määriä Internet-liikennettä siirrettiin Kiinan autonomiseen järjestelmään AS23724. Ihanteellisessa maailmassa kaikki tämä väärin suuntautunut liikenne olisi ollut salatussa VPN-tunnelissa, mikä olisi tehnyt suuren osan liikenteestä sieppaamiselle hyödytöntä, mutta on turvallista sanoa, että tämä ei ole ihanteellinen maailma. (Lisätietoja VPN: stä virtuaalisessa yksityisessä verkossa: Branch Office -ratkaisu.)
BGP: n tulevaisuus
BGP: n ongelma on myös sen suurin etu: yksinkertaisuus. Kun BGP alkoi todella tarttua erilaisiin Internet-palveluntarjoajiin ympäri maailmaa, ei ajateltu paljon ajatuksia, kuten luottamuksellisuus, aitous tai yleinen turvallisuus. Verkonvalvojat halusivat vain kommunikoida keskenään. Internet-tekniikan työryhmä jatkaa tutkimusten tekemistä ratkaisuista BGP: n monille haavoittuvuuksille, mutta yritys hajauttaa hajautettu kokonaisuus, kuten Internet, ei ole pieni yritys, ja miljoonien ihmisten, jotka tällä hetkellä käyttävät Internetiä, on ehkä jouduttava yksinkertaisesti suvaitsemaan satunnainen BGP: n hyväksikäyttö.