Berta Sándor
Rendkívül sebezhető a BGP protokoll
Az internet infrastruktúráját az úgynevezett Border Gateway Protocol (BGP) tartja össze, mivel a routerekkel közli, hogy hova kell vezetniük az adatforgalmat. A protokoll ugyanakkor bármennyire is hasznos, rendkívül sebezhető.
Andree Toonk Hollandiában tanulta ki a szakmát, jelenleg Brit-Kolumbia kanadai tartomány BCNET kutatóhálózatáért felel. A Brit-Kolumbia Egyetemen dolgozik és a BGPmon szolgáltatást is üzemelteti. Utóbbi segítségével az internetes adminisztrátorok tájékoztathatják egymást a hálózati infrastruktúrával kapcsolatos változásokról. A BGPmon segítségével fedezte fel áprilisban 37 000 IP-hálózat átvezetését, amikor számos ismert internetes cím hirtelen egy kínai szolgáltatóhoz került át.
"A Border Gateway Protocolt a nagy internetes routerrendszerek használják. Ez utóbbiak felelnek az online adatforgalom továbbvezetéséért és lehetővé teszi az információcserét arról, hogy milyen úton érhetők el az IP-címek. Ezen adatok alapján határozzák meg a routerek, hogy melyik csomagot hova kell küldeniük. A BGP azonban nem az egyetlen napjainkban használt routingprotokoll, de az úgynevezett autonóm rendszerek (AS) csak ezt alkalmazzák. Egy ilyen AS tartozik minden szolgáltatóhoz, a Google például az AS15169. Vagyis nyugodtan kijelenthető, hogy a BGP az internetet összetartó protokoll."
"Én üzemeltetem a BGPmon projektet, amelyet több ezer hálózati adminisztrátor használ a BGP-t érintő változások nyomon követésére. Az egyik változás lehet, ha az AS-ek hirtelen olyan IP-területeket jelenítenek meg hozzájuk tartozókként, amelyek elvileg nem tartoznak a rendszerükhöz. Ezt nevezzük BGP-hijacknek. Jó példa erre a 2008 februári eset, amikor a YouTube címei hirtelen a pakisztáni Telekomhoz kerültek. Az eredmény: a legtöbb router hirtelen úgy kezelte a dolgot, mintha a YouTube-ot csak a pakisztáni szolgáltatón keresztül lehetne elérni. Így az adatcsomagokat oda kezdték küldeni, ott azonban ezeket semmibe vették, így a YouTube elérhetetlenné vált.
Idén áprilisban egy hasonló esemény történt, amely az AS23724-hez, vagyis a China Telecom nevéhez fűződik. Ennek keretében több ezer routert tévesztettek meg. A készülékek így azt hitték, hogy az IP-címeik leggyorsabb elérése Kínán keresztül valósulhat meg. Ilyen és hasonló események ugyan rendszeresen bekövetkeznek, de ezúttal több ezer címszegmensről volt szó, köztük a Dell, a CNN és az Amazon címszegmenseiről" - nyilatkozta Andree Toonk.
A szakember szerint az ilyen ügyek hátterében a leggyakrabban a rendszerek rossz konfigurálása áll. A beállítási folyamatokat emberek végzik és az emberek hajlamosak hibázni. A legnagyobb problémát az jelenti, hogy jelenleg nincs mód annak megvizsgálására, hogy vajon egy router "igazat mond-e" vagy sem. Éppen ezért egy másik router sem képes ezt megállapítani. Ha létezne ilyen megoldás, úgy ki lehet szűrni ezeket az eseteket.
Sajnos nagyon is reális annak a veszélye, hogy egy személy vagy egy szervezet előbb vagy utóbb kihasználja a BGP protokoll hiányosságait. Ugyanakkor a nagy kiterjedésű támadásokat időben és viszonylag egyszerűen fel lehet ismerni, mivel erős anomáliákat okoznak. Sokkal veszélyesebbek a kisebb BGP-támadások, amelyek csak egy hálózatot vagy IP-címterületet érintenek. Különösen nehéz a felderítés, ha az elkövető tudja, hogy miként rejtse el a nyomait és hogyan összpontosítsa az akciót csak egy földrajzi régióra. Vannak új fenyegetések is, például az úgynevezett Man-in-the-Middle támadások, ezekre Toonk szerint szintén fel kell készülni.
"Szerencsére a szolgáltatók többsége olyan különleges szűrőket szerelt fel, amelyek megbizonyosodnak arról, hogy a rendszer csak az előre látható változásokat fogadja el. Ezzel a módszerrel elvileg megakadályozható a hibás információk rendszerbe bejuttatása. A gond csak az, hogy nem minden hálózat és szolgáltató használ ilyen szűrőket, illetve, hogy az adatok sem származnak mindig teljesen megbízható forrásokból. Egy lehetséges megoldást jelentene a titkosítás. Ezt a BGP támogatja is, de a titkosítás csak abban segíthet, hogy a két router közötti információcserét senki se hallgathassa ki vagy változtathassa meg. A hibás információk bejuttatása ellen a titkosítás nem véd." "Természetesen voltak és vannak törekvések a BGP biztonságosabbá tételére. Az elmúlt években számos kezdeményezés indult egy biztonságosabb verzió kifejlesztésére, hiszen a problémát időben felismerték a szakemberek. Az egyik legérdekesebb fejlesztés neve Resource Public Key Infrastructure (RPKI). Ez a technika lehetővé teszi, hogy egy AS-nek valóban megvan-e az engedélye egy IP-hálózat értesítésére, behívására. Bár ez a megoldás sem védhet ki minden lehetséges támadási formát, de fontos lépés lehet a biztonság növelésére" - hangsúlyozta végül a szakember.
Andree Toonk Hollandiában tanulta ki a szakmát, jelenleg Brit-Kolumbia kanadai tartomány BCNET kutatóhálózatáért felel. A Brit-Kolumbia Egyetemen dolgozik és a BGPmon szolgáltatást is üzemelteti. Utóbbi segítségével az internetes adminisztrátorok tájékoztathatják egymást a hálózati infrastruktúrával kapcsolatos változásokról. A BGPmon segítségével fedezte fel áprilisban 37 000 IP-hálózat átvezetését, amikor számos ismert internetes cím hirtelen egy kínai szolgáltatóhoz került át.
"A Border Gateway Protocolt a nagy internetes routerrendszerek használják. Ez utóbbiak felelnek az online adatforgalom továbbvezetéséért és lehetővé teszi az információcserét arról, hogy milyen úton érhetők el az IP-címek. Ezen adatok alapján határozzák meg a routerek, hogy melyik csomagot hova kell küldeniük. A BGP azonban nem az egyetlen napjainkban használt routingprotokoll, de az úgynevezett autonóm rendszerek (AS) csak ezt alkalmazzák. Egy ilyen AS tartozik minden szolgáltatóhoz, a Google például az AS15169. Vagyis nyugodtan kijelenthető, hogy a BGP az internetet összetartó protokoll."
"Én üzemeltetem a BGPmon projektet, amelyet több ezer hálózati adminisztrátor használ a BGP-t érintő változások nyomon követésére. Az egyik változás lehet, ha az AS-ek hirtelen olyan IP-területeket jelenítenek meg hozzájuk tartozókként, amelyek elvileg nem tartoznak a rendszerükhöz. Ezt nevezzük BGP-hijacknek. Jó példa erre a 2008 februári eset, amikor a YouTube címei hirtelen a pakisztáni Telekomhoz kerültek. Az eredmény: a legtöbb router hirtelen úgy kezelte a dolgot, mintha a YouTube-ot csak a pakisztáni szolgáltatón keresztül lehetne elérni. Így az adatcsomagokat oda kezdték küldeni, ott azonban ezeket semmibe vették, így a YouTube elérhetetlenné vált.
Idén áprilisban egy hasonló esemény történt, amely az AS23724-hez, vagyis a China Telecom nevéhez fűződik. Ennek keretében több ezer routert tévesztettek meg. A készülékek így azt hitték, hogy az IP-címeik leggyorsabb elérése Kínán keresztül valósulhat meg. Ilyen és hasonló események ugyan rendszeresen bekövetkeznek, de ezúttal több ezer címszegmensről volt szó, köztük a Dell, a CNN és az Amazon címszegmenseiről" - nyilatkozta Andree Toonk.
A szakember szerint az ilyen ügyek hátterében a leggyakrabban a rendszerek rossz konfigurálása áll. A beállítási folyamatokat emberek végzik és az emberek hajlamosak hibázni. A legnagyobb problémát az jelenti, hogy jelenleg nincs mód annak megvizsgálására, hogy vajon egy router "igazat mond-e" vagy sem. Éppen ezért egy másik router sem képes ezt megállapítani. Ha létezne ilyen megoldás, úgy ki lehet szűrni ezeket az eseteket.
Sajnos nagyon is reális annak a veszélye, hogy egy személy vagy egy szervezet előbb vagy utóbb kihasználja a BGP protokoll hiányosságait. Ugyanakkor a nagy kiterjedésű támadásokat időben és viszonylag egyszerűen fel lehet ismerni, mivel erős anomáliákat okoznak. Sokkal veszélyesebbek a kisebb BGP-támadások, amelyek csak egy hálózatot vagy IP-címterületet érintenek. Különösen nehéz a felderítés, ha az elkövető tudja, hogy miként rejtse el a nyomait és hogyan összpontosítsa az akciót csak egy földrajzi régióra. Vannak új fenyegetések is, például az úgynevezett Man-in-the-Middle támadások, ezekre Toonk szerint szintén fel kell készülni.
"Szerencsére a szolgáltatók többsége olyan különleges szűrőket szerelt fel, amelyek megbizonyosodnak arról, hogy a rendszer csak az előre látható változásokat fogadja el. Ezzel a módszerrel elvileg megakadályozható a hibás információk rendszerbe bejuttatása. A gond csak az, hogy nem minden hálózat és szolgáltató használ ilyen szűrőket, illetve, hogy az adatok sem származnak mindig teljesen megbízható forrásokból. Egy lehetséges megoldást jelentene a titkosítás. Ezt a BGP támogatja is, de a titkosítás csak abban segíthet, hogy a két router közötti információcserét senki se hallgathassa ki vagy változtathassa meg. A hibás információk bejuttatása ellen a titkosítás nem véd." "Természetesen voltak és vannak törekvések a BGP biztonságosabbá tételére. Az elmúlt években számos kezdeményezés indult egy biztonságosabb verzió kifejlesztésére, hiszen a problémát időben felismerték a szakemberek. Az egyik legérdekesebb fejlesztés neve Resource Public Key Infrastructure (RPKI). Ez a technika lehetővé teszi, hogy egy AS-nek valóban megvan-e az engedélye egy IP-hálózat értesítésére, behívására. Bár ez a megoldás sem védhet ki minden lehetséges támadási formát, de fontos lépés lehet a biztonság növelésére" - hangsúlyozta végül a szakember.