Pular para o conteúdo principal
BlogSegurançaProtocolo de Portão de Fronteira e Segurança de seus Linódios

Protocolo de Portão de Fronteira e Segurança de seus Linódios

Protocolo de Portão de Fronteira e Segurança de seus Linódios

Hoje, estamos aqui para falar sobre o BGP (Border Gateway Protocol ) e um passo recente que demos no sentido de protegê-lo em nossas redes. Enquanto assinávamos nossos prefixos com Autorizações de Origem de Rota (ROAs) por um tempo, implementamos a validação de rotas em todos os nossos roteadores de gateway de borda no mundo inteiro e agora estamos deixando cair os prefixos invalidos RPKI.

Para entender a mudança, precisamos entender como funciona o protocolo TCP. O BGP é um dos protocolos que fazem a Internet funcionar. A Internet é uma vasta rede de redes. Estas redes independentes têm suas próprias faixas de endereços IP provisionadas pelos Registros Regionais de Internet (RIRs). Essas faixas são o que o BGP chama de Prefixos.


Em seguida, esses prefixos são agrupados em um sistema abstrato chamado Sistema Autônomo (AS), identificado por um número chamado Número do Sistema Autônomo (ASN). Por fim, o roteador BGP de cada rede independente é chamado de Peer. Para que o BGP funcione, cada par troca informações de roteamento com seus pares vizinhos na forma de anúncios de prefixos de rede. Como os pares podem trocar todas as rotas que possuem dependendo da política de roteamento, um AS não precisa estar diretamente conectado com outro AS para aprender seus prefixos. Nesse caso, o AS intermediário serve ao propósito de um AS de trânsito trocando informações de roteamento com os AS de borda.

BGP peering com trânsito AS: AS 22222
BGP peering com trânsito AS: AS 22222

Seqüestro do BGP

A falsa propaganda de prefixos que não se controla, seja intencional ou acidental, é chamada de seqüestro BGP. O resultado disso envolve vários tipos de ataques como DDoS, monitoramento, spam e muito mais. 

Um Hijack BGP bem sucedido da AS 66666
Um Hijack BGP bem sucedido da AS 66666

Para que um ataque de sequestro BGP seja bem sucedido, outras redes devem selecionar o caminho de sequestro como o melhor caminho em uma das seguintes formas: 

  1. Uma vez que o BGP geralmente prefere o comprimento do percurso AS mais curto, o adversário pode oferecer um comprimento de percurso AS mais curto do que o legítimo proprietário do prefixo. Outros atributos BGP também podem ser usados para preferir um caminho, mas este comportamento depende muito das políticas de roteamento de um ASN.
  2. O adversário deve anunciar um prefixo mais específico do que o que pode ser anunciado pelo verdadeiro EA de origem. Os sequestros baseados no comprimento do prefixo têm maior probabilidade de sucesso, pois não dependem de políticas BGP potencialmente complicadas. 

Embora a complexidade do ataque seja bastante alta para que tal ataque seja bem sucedido, o seqüestro do BGP é quase impossível de ser parado sem alguma forma de autorização. E é aí que a RPKI entra em jogo. 

RPKI

Pense na RPKI como assinaturas digitais; ela fornece um atestado de que os roteadores de fala BGP aceitam apenas certos Sistemas Autônomos que são autorizados a originar prefixos particulares. Essencialmente, com a RPKI, os anúncios de rota BGP emitidos por um roteador podem ser assinados e validados com base no certificado ROA para garantir que a rota vem do titular do recurso e que é uma rota válida. 

Com a RPKI habilitada em nossas redes, assinamos nossos prefixos de rota com os ROAs e lançamos anúncios BGP de fontes com assinaturas RPKI inválidas. Isto atua como uma medida preventiva contra muitas ameaças associadas ao seqüestro da BGP, incluindo DDoS, spam, phishing, monitoramento de dados, e muito mais. 

Estamos fazendo nossa parte para tornar a Internet um lugar mais seguro. Para saber mais sobre a RPKI, consulte esta documentação da ARIN.

Se você estiver interessado em algumas estatísticas, aqui está um monitor RPKI legal da NIST.


Comentários

Deixe uma resposta

Seu endereço de e-mail não será publicado. Os campos obrigatórios estão marcados com *