Berta Sándor

Rendkívül sebezhető a BGP protokoll

Az internet infrastruktúráját az úgynevezett Border Gateway Protocol (BGP) tartja össze, mivel a routerekkel közli, hogy hova kell vezetniük az adatforgalmat. A protokoll ugyanakkor bármennyire is hasznos, rendkívül sebezhető.

Andree Toonk Hollandiában tanulta ki a szakmát, jelenleg Brit-Kolumbia kanadai tartomány BCNET kutatóhálózatáért felel. A Brit-Kolumbia Egyetemen dolgozik és a BGPmon szolgáltatást is üzemelteti. Utóbbi segítségével az internetes adminisztrátorok tájékoztathatják egymást a hálózati infrastruktúrával kapcsolatos változásokról. A BGPmon segítségével fedezte fel áprilisban 37 000 IP-hálózat átvezetését, amikor számos ismert internetes cím hirtelen egy kínai szolgáltatóhoz került át.

"A Border Gateway Protocolt a nagy internetes routerrendszerek használják. Ez utóbbiak felelnek az online adatforgalom továbbvezetéséért és lehetővé teszi az információcserét arról, hogy milyen úton érhetők el az IP-címek. Ezen adatok alapján határozzák meg a routerek, hogy melyik csomagot hova kell küldeniük. A BGP azonban nem az egyetlen napjainkban használt routingprotokoll, de az úgynevezett autonóm rendszerek (AS) csak ezt alkalmazzák. Egy ilyen AS tartozik minden szolgáltatóhoz, a Google például az AS15169. Vagyis nyugodtan kijelenthető, hogy a BGP az internetet összetartó protokoll."

"Én üzemeltetem a BGPmon projektet, amelyet több ezer hálózati adminisztrátor használ a BGP-t érintő változások nyomon követésére. Az egyik változás lehet, ha az AS-ek hirtelen olyan IP-területeket jelenítenek meg hozzájuk tartozókként, amelyek elvileg nem tartoznak a rendszerükhöz. Ezt nevezzük BGP-hijacknek. Jó példa erre a 2008 februári eset, amikor a YouTube címei hirtelen a pakisztáni Telekomhoz kerültek. Az eredmény: a legtöbb router hirtelen úgy kezelte a dolgot, mintha a YouTube-ot csak a pakisztáni szolgáltatón keresztül lehetne elérni. Így az adatcsomagokat oda kezdték küldeni, ott azonban ezeket semmibe vették, így a YouTube elérhetetlenné vált.

Idén áprilisban egy hasonló esemény történt, amely az AS23724-hez, vagyis a China Telecom nevéhez fűződik. Ennek keretében több ezer routert tévesztettek meg. A készülékek így azt hitték, hogy az IP-címeik leggyorsabb elérése Kínán keresztül valósulhat meg. Ilyen és hasonló események ugyan rendszeresen bekövetkeznek, de ezúttal több ezer címszegmensről volt szó, köztük a Dell, a CNN és az Amazon címszegmenseiről" - nyilatkozta Andree Toonk.

A szakember szerint az ilyen ügyek hátterében a leggyakrabban a rendszerek rossz konfigurálása áll. A beállítási folyamatokat emberek végzik és az emberek hajlamosak hibázni. A legnagyobb problémát az jelenti, hogy jelenleg nincs mód annak megvizsgálására, hogy vajon egy router "igazat mond-e" vagy sem. Éppen ezért egy másik router sem képes ezt megállapítani. Ha létezne ilyen megoldás, úgy ki lehet szűrni ezeket az eseteket.

Sajnos nagyon is reális annak a veszélye, hogy egy személy vagy egy szervezet előbb vagy utóbb kihasználja a BGP protokoll hiányosságait. Ugyanakkor a nagy kiterjedésű támadásokat időben és viszonylag egyszerűen fel lehet ismerni, mivel erős anomáliákat okoznak. Sokkal veszélyesebbek a kisebb BGP-támadások, amelyek csak egy hálózatot vagy IP-címterületet érintenek. Különösen nehéz a felderítés, ha az elkövető tudja, hogy miként rejtse el a nyomait és hogyan összpontosítsa az akciót csak egy földrajzi régióra. Vannak új fenyegetések is, például az úgynevezett Man-in-the-Middle támadások, ezekre Toonk szerint szintén fel kell készülni.

"Szerencsére a szolgáltatók többsége olyan különleges szűrőket szerelt fel, amelyek megbizonyosodnak arról, hogy a rendszer csak az előre látható változásokat fogadja el. Ezzel a módszerrel elvileg megakadályozható a hibás információk rendszerbe bejuttatása. A gond csak az, hogy nem minden hálózat és szolgáltató használ ilyen szűrőket, illetve, hogy az adatok sem származnak mindig teljesen megbízható forrásokból. Egy lehetséges megoldást jelentene a titkosítás. Ezt a BGP támogatja is, de a titkosítás csak abban segíthet, hogy a két router közötti információcserét senki se hallgathassa ki vagy változtathassa meg. A hibás információk bejuttatása ellen a titkosítás nem véd." "Természetesen voltak és vannak törekvések a BGP biztonságosabbá tételére. Az elmúlt években számos kezdeményezés indult egy biztonságosabb verzió kifejlesztésére, hiszen a problémát időben felismerték a szakemberek. Az egyik legérdekesebb fejlesztés neve Resource Public Key Infrastructure (RPKI). Ez a technika lehetővé teszi, hogy egy AS-nek valóban megvan-e az engedélye egy IP-hálózat értesítésére, behívására. Bár ez a megoldás sem védhet ki minden lehetséges támadási formát, de fontos lépés lehet a biztonság növelésére" - hangsúlyozta végül a szakember.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • Mcsiv #2
    Így van, egyrészt egyetértek, másrészt nem. Nem maga a BGP a sebezhető, mivel rendesen beállítva lehetetlen lenne úgy meghírdetni egy tartományt, hogy azt "benyalja" a többi résztvevő. Az hogy esetenként abból indulnak ki, hogy "úgyse lesz ilyen", okozza a legfőbb problémát. Ez körülbelül olyan mintha kirakod Pest központjában az autót, letekert ablakokkal, nyitott ajtóval, benn a kulccsal, arra hivatkozva, hogy úgy se lopná el senki
  • dchard #1
    A protokol ugyan sebezhető, de egyrészt a titkosítás már a most használt 4-es BGP verzió előtt is létezett, másrészt azt azért vegyük figyelembe, hogy a cikkben felsorolt problémák egyike sem támadásból, vagy rosszhiszeműségből következett be, hanem egyszerű emberi mulasztásból. Ezen kívül za is kiderült, hogy megfelelő módszerekkel a meglévő protokol is kellően biztonságossá tehető. Arról nem beszélve, hogy az autonóm rendszerek között nehezen tudok elképzelni olyan IP-s támadást, ahol egy külső támadó rá tudja venni az egyik BGP-t futtató routert, hogy helytelen irányítási információkat adjon át egy másik forgalomirányítónak, mivel ezek IP-s szinten borzasztó jól el vannak szigetelve.

    A BGP problémáját már milliószor leírták, talán túl is van lihegve ez a fajta hiányosság, pedig az internettel ennél sokkal komolyabb problémák is vannak, amik valósak és most is léteznek. Ilyen például a QoS, az egyre drágább és összetettebb forgalomirányítók, illetve a forgalomirányítás skálázhatóságának a hiánya, nincs hierarchikus címzés, lassan kifogyunk a szabad címekből stb. És ezek közül az IPv6 távolról sem oldja meg az összeset, sőt: a nagyobb címtér miatt ha marad a jelenlegi kialakítás, a nagyobb címtér és a hosszabb címek miatt még nagyobb teljesítményű forgalomirányítókra lesz szükség, még nagyobb CAM táblákkal, még gyorsabb és több memóriával (és most senki ne gondoljon arra, hogy de olcsó a DDRAM mostanában. A routerek irányítótáblájánaka tárolásához és a buffereléséhez ezeknél jóval kisebb késleltetésű memóriákra van szükség.)

    Akit érdekel a téma, olvashat a Hierarchical Packet Data Network, illetve a Hierarchical NGN témakörökben.

    Dchard