بروتوكول بوابة الحدود: أكبر ثغرة أمنية على الإطلاق؟

مؤلف: Robert Simon
تاريخ الخلق: 24 يونيو 2021
تاريخ التحديث: 24 يونيو 2024
Anonim
Crimea. The Way Home. Documentary by Andrey Kondrashev
فيديو: Crimea. The Way Home. Documentary by Andrey Kondrashev

المحتوى


يبعد:

عندما تم تطوير BGP ، لم يكن أمان الشبكة مشكلة. ولهذا السبب فإن مشكلة BGP هي أيضًا أكبر ميزة لها: بساطتها.

من حيث ثغرات أمنية ، تم إحراز الكثير من هجمات تجاوز سعة المخزن المؤقت ، وهجمات رفض الخدمة الموزعة ، وعمليات اقتحام شبكة Wi-Fi. بينما حظيت هذه الأنواع من الهجمات بالكثير من الاهتمام داخل مجلات ومدونات ومواقع تقنية المعلومات الأكثر شعبية ، إلا أن جاذبيتها الجنسية غالبًا ما كانت تلقي بظلالها على منطقة داخل صناعة تكنولوجيا المعلومات والتي ربما تكون العمود الفقري لجميع اتصالات الإنترنت: بروتوكول بوابة الحدود (BGP). كما اتضح ، هذا البروتوكول البسيط مفتوح للاستغلال - ومحاولة تأمينه لن يكون عملاً بسيطًا. (لمعرفة المزيد حول التهديدات التكنولوجية ، راجع البرامج الضارة: الديدان وأحصنة طروادة والبوتات ، يا بلدي!)

ما هو BGP؟

بروتوكول بوابة الحدود هو بروتوكول بوابة خارجي يقوم بشكل أساسي بتوجيه حركة المرور من نظام مستقل (AS) إلى نظام مستقل آخر. في هذا الاشتراك ، يشير "النظام المستقل" ببساطة إلى أي مجال يتمتع مزود خدمة الإنترنت (ISP) باستقلال ذاتي عليه. لذلك ، إذا كان المستخدم النهائي يعتمد على AT&T باعتباره موفر خدمة الإنترنت الخاص به ، فسوف ينتمي إلى أحد أنظمة AT&T المستقلة. من المرجح أن يبدو اصطلاح التسمية لـ AS معطى مثل AS7018 أو AS7132.


تعتمد BGP على TCP / IP للحفاظ على الاتصالات بين جهازي توجيه أو أكثر من نظام الحكم الذاتي. اكتسب شعبية واسعة خلال التسعينيات عندما كان الإنترنت ينمو بمعدل كبير. احتاج مزودو خدمة الإنترنت إلى طريقة بسيطة لتوجيه حركة المرور إلى العقد داخل الأنظمة المستقلة الأخرى ، وسمحت بساطة BGP لها أن تصبح بسرعة المعيار الفعلي في التوجيه بين المجالات. لذلك ، عندما يتصل المستخدم النهائي بشخص يستخدم مزود خدمة إنترنت مختلفًا ، ستكون هذه الاتصالات قد اجتازت ما لا يقل عن جهازي توجيه يدعمان BGP.

التوضيح لسيناريو BGP شائع قد يلقي بعض الضوء على الميكانيكا الفعلية لـ BGP. لنفترض أن اثنين من مزودي خدمات الإنترنت يبرمان اتفاقًا لتوجيه حركة المرور من وإلى نظم الحكم الذاتي الخاصة بكل منهما. بمجرد أن يتم توقيع جميع الأعمال الورقية والموافقة على العقود من قبل البيجل القانونية الخاصة بكل منها ، يتم تحويل الاتصالات الفعلية إلى مسؤولي الشبكة. يبدأ جهاز التوجيه الذي يدعم BGP في AS1 الاتصال مع جهاز التوجيه الذي يدعم BGP في AS2. يتم بدء الاتصال وصيانته عبر منفذ TCP / IP 179 ، وبما أن هذا اتصال أولي ، فإن كلا الموجهين يتبادلان جداول التوجيه مع بعضها البعض.


ضمن جداول التوجيه ، يتم الحفاظ على المسارات إلى كل عقدة موجودة داخل AS معين. إذا لم يكن المسار الكامل متاحًا ، فسيتم الحفاظ على الطريق إلى نظام الحكم الذاتي المناسب. بمجرد أن يتم تبادل جميع المعلومات ذات الصلة أثناء التهيئة ، يقال إن الشبكة متقاربة ، وسوف تتضمن أي اتصالات مستقبلية تحديثات واتصالات لا تزال على قيد الحياة.

بسيط جدا أليس كذلك؟ أنه. وهذا هو بالضبط المشكلة ، لأن هذه البساطة التي أدت إلى بعض نقاط الضعف المزعجة للغاية.

لماذا يجب علي الاهتمام؟

كل هذا جيد وجيد ، لكن كيف يؤثر ذلك على شخص يستخدم الكمبيوتر لتشغيل ألعاب الفيديو ومشاهدة Netflix؟ شيء واحد يجب على كل مستخدم نهائي وضعه في الاعتبار هو أن الإنترنت عرضة للغاية لتأثير الدومينو ، وأن BGP تلعب دورًا كبيرًا في هذا. إذا تم ذلك بشكل صحيح ، فقد يؤدي اختراق أحد أجهزة توجيه BGP إلى رفض الخدمة لنظام مستقل بالكامل.

دعنا نقول أن بادئة عنوان IP لنظام مستقل معين هي 10.0.x.x. يقوم جهاز التوجيه الذي يدعم BGP ضمن هذا AS بالإعلان عن هذه البادئة إلى أجهزة التوجيه الأخرى التي تدعم BGP ضمن الأنظمة المستقلة الأخرى. هذا عادةً ما يكون شفافًا بالنسبة لآلاف المستخدمين النهائيين ضمن ملف AS معين ، حيث إن معظم المستخدمين المنزليين غالباً ما يكونون معزولين عن الأحداث على مستوى مزود خدمة الإنترنت. الشمس مشرقة والطيور تغني وحركة المرور على الإنترنت تهتم. تعد جودة صورة Netflix و YouTube و Hulu إيجابية للغاية ، ولم تكن الحياة الرقمية أفضل من أي وقت مضى.

No Bugs، No Stress - دليلك خطوة بخطوة لإنشاء برامج لتغيير الحياة دون تدمير حياتك

لا يمكنك تحسين مهارات البرمجة لديك عندما لا يهتم أحد بجودة البرنامج.

الآن ، دعنا نقول أن الشخص الشرير داخل نظام مستقل آخر يبدأ الإعلان عن شبكته كمالك لبادئة عنوان IP 10.0.x.x. ومما زاد الطين بلة ، تعلن هذه الشبكة الشريرة أن مساحة العنوان 10.0.x.x له أقل تكلفة من المالك الشرعي للبادئة المذكورة. (أقصد بالتكلفة ، عدد أقل من القفزات ، ومزيد من الإنتاجية ، وأقل ازدحام ، وما إلى ذلك. المالية ليست ذات صلة في هذا السيناريو). فجأة ، يتم تحويل كل حركة المرور التي كانت مرتبطة بشبكة المستخدم النهائي فجأة إلى شبكة أخرى ، وليس هناك الكثير الذي يمكن لمزود خدمة الإنترنت القيام به لمنع ذلك.

حدث سيناريو مشابه جدًا للذي ذكرناه للتو في 8 أبريل 2010 ، عندما أعلن مزود خدمة الإنترنت داخل الصين عن شيء ما على طول 40000 طريق زائف. لمدة 18 دقيقة كاملة ، تم تحويل كميات لا حصر لها من حركة المرور على الإنترنت إلى نظام الحكم الذاتي الصيني AS23724. في عالم مثالي ، كانت كل حركة المرور المضللة هذه موجودة داخل نفق VPN مشفر ، مما يجعل الكثير من حركة المرور غير مجدية للطرف المعترض ، لكن من الآمن القول أن هذا ليس عالمًا مثاليًا. (تعرف على المزيد حول VPN في الشبكة الافتراضية الخاصة: حل فرع المكتب.)

مستقبل BGP

مشكلة BGP هي أيضًا أكبر ميزة لها: بساطتها. عندما بدأت BGP تترسخ حقًا بين مقدمي خدمات الإنترنت المختلفين حول العالم ، لم يتم وضع الكثير من التفكير في مفاهيم مثل السرية أو الأصالة أو الأمن العام. أراد مسؤولو الشبكات التواصل مع بعضهم البعض. تستمر فرقة هندسة الإنترنت في إجراء دراسات حول حلول للعديد من نقاط الضعف داخل BGP ، لكن محاولة تأمين كيان لامركزي مثل الإنترنت ليس مهمة بسيطة ، وقد يضطر ملايين الأشخاص الذين يستخدمون الإنترنت حاليًا إلى تحمل استغلال BGP في بعض الأحيان.