Москва
+7-929-527-81-33
Вологда
+7-921-234-45-78
Вопрос юристу онлайн Юридическая компания ЛЕГАС Вконтакте

Sicurezza del protocollo BGP.

  • Печать
Обновлено 01.10.2025 11:35

Penso che tutti capiscano che Internet è vulnerabile agli attacchi che utilizzano protocolli di routing e il protocollo BGP non fa eccezione in questo senso. Le fonti di informazioni sulle rotte difettose, configurate in modo errato o intenzionalmente distorte possono introdurre significative distorsioni nel funzionamento di Internet inserendo informazioni di rotta false nei database di informazioni di rotta distribuiti da BGP (modificando, falsificando o riutilizzando i pacchetti BGP). Esistono anche alcuni metodi per interrompere la rete in generale interrompendo le connessioni nel sistema di scambio di informazioni tra i nodi BGP. Le fonti di informazioni false possono essere sia host esterni (outsider) che nodi BGP legittimi.

L'autenticazione crittografica dello scambio di dati tra partner non è fornita nel protocollo BGP. Il protocollo BGP, come lo stack TCP/IP, può servire come obiettivo per tutti gli attacchi di rete di cui abbiamo parlato nei post precedenti. Qualsiasi nodo di terze parti può includere messaggi BGP plausibili nelle comunicazioni tra i partner BGP e quindi includere percorsi falsi nelle tabelle o interrompere la connessione tra i partner. Qualsiasi interruzione della comunicazione tra i partner provoca un cambiamento nel modello di routing propagato. Inoltre, i nodi esterni possono anche interrompere le connessioni tra i partner BGP, interrompendo le sessioni TCP per loro con pacchetti falsi. Fonti esterne di informazioni false BGP possono trovarsi ovunque su Internet.

Richiedere il supporto per un meccanismo di autenticazione non significa ancora usarlo nella pratica. Pertanto, il meccanismo di autenticazione si basa sull'uso di un segreto condiviso preimpostato (segreto condiviso, una password condivisa che tutti i partecipanti devono utilizzare per lo scambio di dati) e non include le capacità di negoziazione dinamica di IPsec di questo segreto. Pertanto, l'utilizzo dell'autenticazione deve essere una decisione informata e non può essere abilitato automaticamente o per impostazione predefinita.

L'attuale specifica BGP consente inoltre alle implementazioni del protocollo di accettare connessioni da partner non specificati nella configurazione. Tuttavia, la specifica manca di una chiara definizione di " non specificato nella configurazione

partner " o modi per utilizzare l'autenticazione per tali casi.

I nodi BGP stessi possono includere dati di instradamento falsi mascherandosi da un altro nodo BGP legittimo o inviando informazioni di instradamento per proprio conto senza l'autorità dovuta. Ci sono stati casi in cui router configurati in modo errato o difettosi hanno causato gravi violazioni del funzionamento di Internet. I nodi BGP legittimi hanno il contesto e le informazioni per creare dati di instradamento plausibili ma falsi e quindi possono causare gravi violazioni. La protezione crittografica e la protezione dei dispositivi funzionanti non consentono di escludere informazioni false ricevute da un partner legittimo, quindi tutti i requisiti di crittografia saranno soddisfatti in questo caso. Il rischio di violazioni causate da partner BGP legittimi è reale e deve essere preso in considerazione. In altre parole, non dovresti fare affidamento completamente sui fornitori vicini, è necessario implementare impostazioni aggiuntive, che saranno discusse nei prossimi post.

In caso di trasmissione di informazioni di percorso false, È possibile che si verifichino vari problemi. Ad esempio, se i dati falsi rimuovono le informazioni di instradamento corrette per una singola rete, potrebbero non essere disponibili per la parte di Internet che ha accettato i dati falsi. E se le informazioni false cambiano il percorso verso una rete, i pacchetti indirizzati a quella rete possono essere inoltrati lungo un percorso non ottimale, che a sua volta può portare a perdite finanziarie per quel provider. Anche il percorso di inoltro non corrisponderà alla politica prevista o il traffico andrà semplicemente perso. Di conseguenza, il traffico verso questa rete può essere ritardato su un percorso più lungo di quello necessario. La rete potrebbe diventare inaccessibile alle aree che hanno accettato dati falsi. Il traffico può anche essere instradato lungo un percorso in cui i dati possono essere visualizzati in modo indesiderato o distorti. Ad esempio, utilizzando uno sniffer di cui abbiamo parlato prima. Se le informazioni false mostrano che un sistema autonomo include reti che realisticamente non lo fanno, i pacchetti per tali reti potrebbero non essere consegnati dalle parti di Internet che hanno accettato le informazioni false. I falsi annunci di appartenenza delle reti a un sistema autonomo possono anche causare la frammentazione di blocchi di indirizzi aggregati in altre parti di Internet e causare problemi di routing ad altre reti.

Come si può vedere, ci sono parecchi problemi relativi alla sicurezza del protocollo BGP. Quali violazioni della rete possono verificarsi a seguito di questi attacchi?

Le violazioni derivanti da tali attacchi includono quanto segue.

Violazione di starvation (perdita di pacchetti). Il traffico indirizzato a un host viene inoltrato a una parte della rete che non è in grado di fornirne la consegna, con conseguente perdita di traffico.

Violazione di network congestion (congestione della rete). Più dati verranno inviati attraverso qualsiasi parte della rete di quanto questa rete sia in grado di elaborare. È un tipo di attacco denial of Service.

Violazione del buco nero (buco nero). Una grande quantità di traffico viene instradata per essere inoltrata attraverso un singolo router, che non è in grado di gestire l'aumento del livello di traffico e scarterà parte, la maggior parte o tutti i pacchetti.

Violazione del ritardo. I dati indirizzati a un nodo vengono inoltrati su un percorso più lungo del solito. Questa violazione può causare ritardi nella trasmissione dei dati, particolarmente evidenti durante la trasmissione di contenuti video o audio in streaming, o la perdita di parte del traffico, poiché alcuni pacchetti potrebbero scadere Time To Live, la durata della vita, a causa di un percorso troppo lungo.

Rottura looping (loop). I dati vengono trasmessi su un percorso chiuso e non verranno mai consegnati.

Violazione di eavesdrop (intercettazione). I dati vengono inoltrati tramite qualsiasi router o rete che non dovrebbe vedere questi dati, le informazioni durante tale inoltro possono essere visualizzate. In genere, in tali violazioni, gli aggressori indirizzano specificamente il traffico attraverso un segmento di rete che possono ascoltare. Di solito, in questo modo vengono estratte informazioni sensibili su carte di credito, password, codici di accesso, ecc.

Violazione della partizione (divisione della rete). Alcune parti sembrano essere separate dalla rete, quando in realtà non lo sono. Come risultato di questa violazione, il traffico potrebbe non passare attraverso le parti, il che influirà negativamente sul funzionamento della rete nel suo insieme.

Interruzione del taglio. Alcune parti della rete possono sembrare tagliate fuori dalla rete, anche se realisticamente sono collegate. Per analogia con la violazione precedente, il traffico potrebbe non passare attraverso alcune parti.

Violazione di churn (onde). La velocità di inoltro alla rete cambia rapidamente, il che porta a variazioni significative nel modello di consegna dei pacchetti (e può influire negativamente sul funzionamento del sistema di controllo della saturazione).

Violazione di instability (instabilità). Il funzionamento del BGP diventa instabile e non riesce a raggiungere la convergenza del modello di percorsi.

Violazione del sovraccarico. I messaggi BGP stessi diventano una parte significativa del traffico trasmesso attraverso la rete.

Violazione di Resource exhaustion (esaurimento delle risorse). I messaggi BGP da soli consumano troppe risorse del router (come lo spazio della tabella).

Violazione di address-spoofing (indirizzi ingannevoli). I dati vengono inviati tramite un router o una rete, che sono falsi e possono servire a intercettare o distorcere informazioni. Questa violazione è simile alla violazione intercettazione.

Oleg Petukhov, avvocato nel campo del diritto internazionale e della protezione dei dati personali, specialista nel campo dell'informazione sicurezza, protezione delle informazioni e dei dati personali.

Canale Telegram: https://t.me/protezionedelleinformazioni

Gruppo in telegramma: https://t.me/protezionedelleinformazioni1

Sito: https://legascom.ru

E-mail: online@legascom.ru

#protezionedelleInformazioni #sicurezzadelleinformazioni

 

 

 

 
Юридические услуги
Яндекс.Метрика
Представительство в суде и защита прав, досудебное урегулирование споров, медиация, абонентское сопровождение организаций, кадровое делопроизводство, трудовое право, восстановление на работе и выплата заработной платы, регистрация и ликвидация предприятий, земельные споры, споры связанные с недвижимостью, сопровождение сделок с недвижимостью, бесплатная юридическая консультация. Квалифицированный юрист Вологда. Квалифицированный адвокат Вологда. Квалифицированный юрист Москва. Квалифицированный адвокат Москва. Квалифицированный юрист Санкт-Петербург. Квалифицированный адвокат Санкт-Петербург. Суд по интеллектуальным правам. Европейский суд по правам человека. Апелляционная жалоба. Апелляционная жалоба в Московский городской суд. Апелляционная жалоба в Санкт-Петербургский городской суд. Санкт-Петербургский городской суд. Московский городской суд. Верховный суд. Кассационная жалоба. Кассационная жалоба в Верховный суд. Оценка перспектив обращения в Европейский суд по правам человека. Подготовка жалоб в Европейский суд по правам человека. ЕСПЧ. Оценка перспектив обращения в ЕСПЧ. Подготовка жалоб в ЕСПЧ. Жалоба ЕСПЧ. Жалоба в ЕСПЧ. Адвокат ЕСПЧ. Юрист ЕСПЧ. Адвокат Европейский суд по правам человека. Юрист Европейский суд по правам человека. Комитет ООН по правам человека. Подготовка жалоб в Комитет ООН по правам человека. Подготовка жалоб в Комитет ООН по правам человека. Оценка перспектив обращения в Комитет ООН по правам человека. Жалоба Комитет ООН по правам человека. Адвокат Комитет ООН по правам человека. Юрист Комитет ООН по правам человека. Арбитражный суд города Москвы. Арбитражный суд Московской области. Арбитражный суд города Санкт-Петербурга и Ленинградской области. Арбитражный суд Вологодской области. Девятый апелляционный арбитражный суд. Десятый апелляционный арбитражный суд. Тринадцатый апелляционный арбитражный суд. Четырнадцатый арбитражный апелляционный суд. Арбитражный суд Московского округа. Арбитражный суд Северо-Западного округа. Юрист Верховный Суд. Адвокат Верховный Суд. Юрист Верховный Суд Российской Федерации. Адвокат Верховный Суд Российской Федерации. Юрист Верховный Суд РФ. Адвокат Верховный Суд РФ. Юрист Вологодский областной суд. Адвокат Вологодский областной суд. Юрист Ленинградский областной суд. Адвокат Ленинградский областной суд. Юрист Сантк-Петербургский городской суд. Адвокат Санкт-Петербургский городской суд. Юрист Московский областной суд. Адвокат Московский областной суд. Юрист Московский городской суд. Адвокат Московский городской суд. Реновация Москва. Реновация в Москве. Юрист реновация Москва. Юрист реновация в Москве. Адвокат реновация Москва. Адвокат реновация в Москве.