Avançar para o conteúdo principal
BlogSegurançaProtocolo de Portão de Fronteira e Fixação dos seus Linódios

Border Gateway Protocol e Proteger os seus Linodes

Border Gateway Protocol e Proteger os seus Linodes

Hoje, estamos aqui para falar sobre o Protocolo BGP (Border Gateway Protocol ) e um passo recente que demos no sentido de o securizar nas nossas redes. Enquanto assinávamos os nossos prefixos com Autorizações de Origem de Rotas (ROAs) há algum tempo, implementámos a validação de rotas em todos os nossos routers de gateway de fronteira em todo o mundo e estamos agora a deixar cair os prefixos invalidos RPKI.

Para compreender a mudança, precisamos de compreender como funciona o protocolo TCP. O BGP é um dos protocolos que fazem funcionar a Internet. A Internet é uma vasta rede de redes. Estas redes independentes têm os seus próprios intervalos de endereços IP fornecidos pelos Registos Regionais da Internet (RIRs). Estas gamas são aquilo a que BGP se refere como Prefixos.


Em seguida, estes prefixos são agrupados num sistema abstracto chamado Sistema Autónomo (AS), identificado por um número chamado Número do Sistema Autónomo (ASN). Finalmente, o router BGP de cada rede independente é chamado de Peer. Para que o BGP funcione, cada par troca informações de encaminhamento com os seus pares vizinhos sob a forma de anúncios de prefixos de rede. Uma vez que os pares podem trocar todas as rotas que têm em função da política de encaminhamento, um AS não precisa de estar directamente ligado a outro AS para aprender os seus prefixos. Neste caso, o AS intermediário serve o propósito de um AS de trânsito trocar informações de encaminhamento com o AS de borda.

BGP peering com trânsito AS: AS 22222
BGP peering com trânsito AS: AS 22222

Sequestro de BGP

A falsa publicidade de prefixos que não se controla, seja intencional ou acidental, é chamada de desvio de BGP. O resultado envolve vários tipos de ataques como o DDoS, monitorização, spam, e muito mais. 

Um Hijack BGP bem sucedido de AS 66666
Um Hijack BGP bem sucedido de AS 66666

Para que um ataque de sequestro BGP seja bem sucedido, outras redes devem seleccionar o caminho sequestrado como o melhor caminho de uma das seguintes formas: 

  1. Uma vez que o BGP geralmente prefere o comprimento do percurso AS mais curto, o adversário pode oferecer um comprimento de percurso AS mais curto do que o legítimo proprietário do prefixo. Outros atributos BGP também podem ser usados para preferir um caminho, mas este comportamento depende muito das políticas de encaminhamento de um ASN.
  2. O adversário deve anunciar um prefixo mais específico do que o que pode ser anunciado pelo verdadeiro EA de origem. Os sequestros baseados no comprimento do prefixo têm mais probabilidades de sucesso, uma vez que não dependem de políticas BGP potencialmente complicadas. 

Embora a complexidade do ataque seja bastante elevada para que tal ataque seja bem sucedido, o desvio de BGP é quase impossível de parar sem alguma forma de autorização. E é aí que a RPKI entra em jogo. 

RPKI

Pense na RPKI como assinaturas digitais; ela fornece um atestado de que os routers que falam BGP aceitam apenas certos Sistemas Autónomos que estão autorizados a originar prefixos particulares. Essencialmente, com RPKI, os anúncios de rota BGP emitidos a partir de um router podem ser assinados e validados com base no certificado ROA para assegurar que a rota vem do detentor do recurso e que é uma rota válida. 

Com a RPKI activada nas nossas redes, assinamos os nossos prefixos de rota com os ROAs e largamos anúncios BGP de fontes com assinaturas RPKI inválidas. Isto actua como medida preventiva contra muitas ameaças associadas ao sequestro de BGP, incluindo DDoS, spam, phishing, monitorização de dados, e muito mais. 

Estamos a fazer a nossa parte para tornar a Internet um lugar mais seguro. Para saber mais sobre a RPKI, consulte esta documentação da ARIN.

Se estiver interessado em algumas estatísticas, aqui está um monitor RPKI fixe do NIST.

Comentários

Deixe uma resposta

O seu endereço de correio electrónico não será publicado. Os campos obrigatórios estão marcados com *