Безопасность протокола BGP.
Думаю, всем понятно, что сеть Интернет уязвима для атак с использованием протоколов маршрутизации и протокол BGP в этом смысле не является исключением. Дефектные, некорректно настроенные или преднамеренно искаженные источники информации о маршрутах могут внести существенные искажения в работу Интернета путем вставки ложной маршрутной информации в распространяемые с помощью BGP базы маршрутных данных (путем изменения, подмены или повторного использования пакетов BGP). Существуют также некоторые методы нарушения работы сети в целом путем разрыва связей в системе обмена информацией между узлами BGP. Источниками ложной информации могут служить как внешние хосты (outsider), так и легитимные узлы BGP.
Криптографическая аутентификация обмена данными между партнерами не предусмотрена в протоколе BGP. Протокол BGP, как и стек TCP/IP, может служить целью всех сетевых атак, о которых мы говорили в предыдущих постах. Любой сторонний узел может включить правдоподобные сообщения BGP в обмен данными между партнерами BGP и, следовательно, включить в таблицы ложные маршруты или разорвать соединение между партнерами. Любое прерывание связи между партнерами приводит к изменению распространяемой картины маршрутизации. Более того, внешние узлы могут также разрывать соединения между партнерами BGP, обрывая для них сессии TCP с помощью ложных пакетов. Внешние источники ложной информации BGP могут располагаться в любой точке сети Интернет.
Требование поддержки механизма аутентификации еще не означает его использования на практике. Так, механизм аутентификации основан на использовании предустановленного разделяемого секрета (shared secret, общего пароля, который должны использовать все участники обмена данными) и не включает возможностей IPsec по динамическому согласованию этого секрета. Следовательно, использование аутентификации должно быть осознанным решением и не может быть включено автоматически или по умолчанию.
Текущая спецификация BGP также позволяет реализациям протокола принимать соединения от не указанных в конфигурации партнеров. Однако в спецификации отсутствует четкое определение «не указанного в конфигурации
партнера» или способов использования аутентификации для таких случаев.
Сами узлы BGP могут включать ложные маршрутные данные, маскируясь под другой легитимный узел BGP или рассылая маршрутную информацию от своего имени без должных на то полномочий. Наблюдались случаи, когда некорректно настроенные или неисправные маршрутизаторы становились причиной серьезных нарушений в работе интернета. Легитимные узлы BGP имеют контекст и информацию для создания правдоподобных, но ложных маршрутных данных и, следовательно, могут служить причиной серьезных нарушений. Криптографическая защита и защита работающих устройств не позволяют исключить ложную информацию, полученную от легитимного партнера, так все требования шифрования в таком случае будут соблюдены. Риск нарушений, вызываемых легитимными партнерами BGP, является реальным и обязательно должен приниматься во внимание. Другими словами, не стоит полностью полагаться на соседних провайдеров, необходимо осуществить дополнительные настройки, о которых речь пойдет в следующих постах.
В случае передачи ложной маршрутной информации возможно возникновение различных проблем. Например, если ложные данные удаляют корректную маршрутную информацию для отдельной сети, то она может стать недоступной для части интернета, принявшей ложные данные. А если ложная информация изменяет маршрут в сеть, пакеты, адресованные в эту сеть, могут пересылаться по неоптимальному пути, что в свою очередь может привести к финансовым потерям для данного провайдера. Также путь пересылки не будет соответствовать ожидаемой политике или трафик будет просто утерян. В результате трафик в эту сеть может быть задержан на пути, который будет длиннее необходимого. Сеть может стать недоступной для областей, принявших ложные данные. Трафик может быть также направлен по пути, на котором данные могут быть подвергнуты нежелательному просмотру или искажены. Например, с использованием сниффера, о котором мы уже говорили ранее. Если ложная информация показывает, что автономная система включает сети, которые реально в нее не входят, пакеты для таких сетей могут быть не доставлены из тех частей интернета, которые приняли ложную информацию. Ложные анонсы принадлежности сетей к автономной системе могут также привести к фрагментированию агрегированных адресных блоков в других частях интернета и вызвать проблемы в маршрутизации для других сетей.
Как можно видеть, проблем, связанных с безопасностью протокола BGP, довольно много. Какие нарушения в работе сети могут возникнуть в результате данных атак?
К нарушениям в результате таких атак относятся следующие.
Нарушение starvation (потеря пакетов). Трафик, адресованный узлу, пересылается в ту часть сети, которая не может обеспечить его доставку, в результате чего происходит потеря трафика.
Нарушение network congestion (перегрузка сети). Через какую-либо часть сети будет пересылаться больше данных, нежели эта сеть способна обработать. Это разновидность атаки на отказ в обслуживании.
Нарушение blackhole (черная дыра). Большое количество трафика направляется для пересылки через один маршрутизатор, который не способен справиться с возросшим уровнем трафика и будет отбрасывать часть, большинство или все пакеты.
Нарушение delay (задержка). Данные, адресованные узлу, пересылаются по более длинному пути, чем обычно. Данное нарушение может привести как к задержкам при передаче данных, что особенно заметно при передаче потокового видео- или аудиоконтента, так и к потере части трафика, так как у некоторых пакетов может истечь значение Time To Live, время жизни, из-за слишком длинного пути.
Нарушение looping (петли). Данные передаются по замкнутому пути и никогда не будут доставлены.
Нарушение eavesdrop (перехват). Данные пересылаются через какойлибо маршрутизатор или сеть, которые не должны видеть этих данных, информация при такой пересылке может просматриваться. Как правило, при подобных нарушениях злоумышленники специально направляют трафик через сегмент сети, который они могут прослушивать. Обычно подобным способом добывается конфиденциальная информация о кредитных картах, паролях, кодах доступа и т. д.
Нарушение partition (разделение сети). Некоторые части кажутся отделенными от сети, хотя на самом деле это не так. В результате данного нарушения через части может не проходить трафик, что отрицательно скажется на работе сети в целом.
Нарушение cut (отключение). Некоторые части сети могут казаться отрезанными от сети, хотя реально они подключены. По аналогии с предыдущим нарушением через некоторые части может не проходить трафик.
Нарушение churn (волны). Скорость пересылки в сеть изменяется быстрыми темпами, что приводит к значительным вариациям картины доставки пакетов (и может неблагоприятно влиять на работу системы контроля насыщения).
Нарушение instability (нестабильность). Работа BGP становится нестабильной, и не удается достичь схождения картины маршрутов.
Нарушение overload (перегрузка). Сообщения BGP сами по себе становятся значительной частью передаваемого через сеть трафика.
Нарушение resource exhaustion (истощение ресурсов). Сообщения BGP сами по себе отнимают слишком много ресурсов маршрутизатора (например, пространства таблиц).
Нарушение address-spoofing (обманные адреса). Данные пересылаются через некий маршрутизатор или сеть, которые являются подставными и могут служить для перехвата или искажения информации. Данное нарушение аналогично нарушению перехват.
Петухов Олег, юрист в области международного права и защиты персональных данных, специалист в области информационной безопасности, защиты информации и персональных данных.
Телеграм-канал: https://t.me/zashchitainformacii
Группа в Телеграм: https://t.me/zashchitainformacii1
Сайт: https://legascom.ru
Электронная почта: online@legascom.ru
#защитаинформации #информационнаябезопасность
