Smakämnen BGP (Border Gateway Protocol) är ett av de grundläggande protokollen på Internet, eftersom det ansvarar för utbyte av routinginformation mellan de olika autonoma systemen som finns i världen. Till exempel har varje Internetoperatör sitt eget AS, och för att kommunicera med en annan operatörs AS måste du använda BGP-protokollet.
Om detta protokoll inte är korrekt konfigurerat kan det orsaka avbrott på Internet, eller trafikvägarna kan ändras så att all trafik från ett visst AS passerar genom ett annat utan att begära det. Cloudflare har lanserat en gratis verktyg för att kontrollera säkerheten för BGP-protokollet enkelt och snabbt.
BGP-protokoll: vad det är, vad det är för och hur det fungerar
Internet är uppdelat i autonoma system (AS), en autonomt system är en uppsättning routrar från samma operatör som utbyter rutter mellan dem för att komma från ett ursprung till en destination. Det är viktigt att en operatör inom sitt AS har perfekt uppdaterade rutter, eftersom vi annars skulle kunna förlora anslutningen till en specifik destination.
An AS är som ett "litet" internet som bara tillåter operatören i fråga att kommunicera, till exempel om du är en Movistar-klient och vill kommunicera med en annan Movistar-klient, kommer all trafik att passera genom AS, inte gå ut på Internet (i princip beror det på hur den är konfigurerad). Till exempel har varje operatör i Spanien minst ett autonomt system (de skulle kunna ha flera AS till sitt förfogande).
Inom ett autonomt system utbyter operatörernas routrar olika rutter för att komma från ett ursprung till en destination internt, utan att använda andra AS. Ruttinformationen tillhandahålls dynamiskt av routingprotokoll inre gateway (IGP - Interior Gateway Protocol), denna routing är intern för AS själv, och använder sig av specifika protokoll som OSPF eller IS-IS i de allra flesta fall, men det finns också andra IGP-protokoll som RIP eller EIGRP.
BGP (Border Gateway Protocol) är ett extern , extern gateway-protokoll eller kallas också en "gräns". Detta protokoll är van vid växla rutter mellan olika AS , är denna uppgift avgörande så att vi kan ha anslutning från en källa till en destination, när trafiken måste passera genom olika AS.
Till exempel, om vår operatör är Movistar och vi vill kommunicera med någon som har Vodafone, är det nödvändigt att vår trafik går igenom Movistar AS och även Vodafone för att nå sin destination korrekt. Medan IGP-protokoll delar rutter inom AS, ansvarar BGP för att dela rutter till andra AS för att ha anslutning mellan olika operatörer.
När vi konfigurerar ett BGP-protokoll kommer vi att ha både interna anslutningar (iBGP) som görs inom AS, liksom externa sessioner (eBGP) som görs mellan olika AS.
Vissa egenskaper hos BGP är att det garanterar ett val av slingfria rutter, det fattar routningsbeslut baserat på de nätverksprinciper som är definierade (trafikteknik), såsom antalet AS-hopp från ursprung till destination, även om vi kan använda LOCAL-PREF-attribut för att modifiera detta beteende, rutterna kan också modifieras baserat på andra attribut som finns i BGP.
Varför är inte BGP säkert?
BGP-protokollet kan, om det inte konfigureras korrekt, leda till attacker som BGP-kapring. Om du måste gå igenom B för att komma från källa A till destination C, är det möjligt att nod B kommer att "lura" nod A för att få sin trafik att gå igenom ett annat AS, eller att det inte direkt ger dig rätt rutt och slut på anslutningen, eftersom du inte kan komma till C på något sätt om B inte ger dig informationen. BGP-kapsel fungerar exakt så här, kapar BGP-sessionen och skickar falsk information till ett AS så att det aldrig når sin "granne", eller att den kommer på ett skadligt sätt (passerar genom en router av ett annat AS under vår kontroll, för exempel).
För att BGP ska vara säkert måste vi skydda spridningen av rutter på ett skadligt eller felaktigt sätt (på grund av mänsklig misslyckande kan vi lämna anslutning till ett helt AS). Det är viktigt att de olika BGP-routrarna har möjlighet att validera informationen de får på något sätt så att de kan avvisa dessa oönskade rutter på egen hand och inte ändra deras routing.
Som standard innehåller BGP inget säkerhetsprotokoll för att undvika detta, implementeringen av felaktig ruttfiltrering beror på varje AS. Normalt när vi tappar rutterna beror det på mänskligt misslyckande, men det kan också bero på en cyberkriminell handling, som har hänt tidigare. BGP kan vara säkert om alla AS annonserar endast legitima rutter, det vill säga när de är "din".
RPKI till undsättning
RPKI (Resource Public Key Infrastructure) ger oss lösningen, för närvarande finns det miljoner rutter på internet, så att kontrollera dem manuellt är en omöjlig uppgift. Detta säkerhetsramverk kan associera en rutt med ett specifikt autonomt system. RPKI använder kryptografi mellan de olika BGP-routrarna så att noderna validerar informationen på ett säkert sätt innan de överförs till routrarna, för att säkerställa 100% att det är en legitim rutt. Vi rekommenderar att du läser mer om RPKI på Cloudflare-bloggen där du hittar teknisk information.
Hur verktyget fungerar för att upptäcka om vår Internetleverantör använder BGP med RPKI
Det här verktyget ansvarar för att kontrollera om vår operatör implementerar BGP på ett säkert sätt, vad det gör är att tillkännage en legitim Cloudflare-rutt, men de ser till att detta meddelande inte är giltigt. Om vi kan ladda webbplatsen där vi är värd för den rutten, betyder det att vi kan nå den och att vår ISP har accepterat den som giltig, annars kommer vi inte att kunna komma åt den eftersom operatören har markerat den som ogiltig.
Det första vi borde göra är få på nätet är BGP säkert ännu? och klicka på «Testa din ISP», som du kan se här:
Efter några sekunder kommer det att informera oss om resultatet av testet som vi har utfört, vår operatör är Masmóvil, och det verkar som om den inte genomför dessa BGP-skydd:
Precis nedan får vi en ranking med olika internetoperatörer i världen, och det kommer att indikera om de har BGP konfigurerat korrekt eller inte. Till exempel har andra operatörer i Spanien som Vodafone, Orange eller Movistar inte heller dessa BGP-skydd, bedömt utifrån Cloudflare-tester. Vissa operatörer (eller företag med AS) som har gjort sitt jobb mycket bra är Telia, NTT och även Cloudflare, även om andra som Cogent eller TATA är delvis säkra eftersom de gör peer-filter.
