BGP pomáhá směrovat data, ale nedělá to příliš bezpečně

Obezpečnostních slabinách protokolu BGP (Border Gateway Protocol), který zajišťuje předávání směrovacích informac


Obezpečnostních slabinách protokolu BGP (Border Gateway Protocol), který
zajišťuje předávání směrovacích informací mezi jednotlivými routery internetu,
se ví už dávno. Proto se již delší čas pracuje na jejich odstraňování, a to
formou vylepšování BGP samotného i vývojem alternativních protokolů.
Nejznámějšími alternativami jsou S-BGP a soBGP. Všechna nalezená řešení mají
svá pro a proti, své zastánce i odpůrce a na internetu tak zatím stále vládne
BGP ve své původní podobě.
V roce 1996 americká vláda pověřila firmu BBN, aby vyvinula bezpečnější verzi
primárního protokolu používaného ke směrování informací na internetu. Nešlo o
odezvu na žádný konkrétní případ narušení bezpečnosti sítě nebo dat, ale o
prosté uvědomění si skutečnosti, že se Border Gateway Protocol (BGP) s růstem
velikosti a důležitosti internetu stává stále zranitelnějším.
Přesto všechno je nyní, o sedm let později, protokol Secure BGP (S-BGP),
jakožto základ infrastruktury veřejného klíče zabraňující falšování IP adres,
stále ve vývoji a na svou implementaci do internetových směrovačů teprve čeká.
Jako důvody tohoto stavu jsou uváděna omezení daná pamětí směrovačů, vysoká
režie zpracování a stagnující odvětví telekomunikací.
"Zabezpečení protokolu BGP je zcela minimální," říká Alex Zinin, ředitel pro
oblast směrování a Sub-IP v IETF (Internet Engineering Task Force). "V podobě,
ve které je dnes nasazen, nedisponuje žádným mechanismem pro ověření původu a
korektnosti konkrétní směrovací informace," vysvětluje.
Práce na zabezpečení BGP jsou ale v současnosti spíše izolované než sjednocené.
Společnost Cisco a někteří poskytovatelé internetových služeb pracují na
alternativě k protokolu S-BGP vyvíjenému firmou BBN, která se nazývá Secure
Origin BGP (soBGP). Protokol soBGP umožňuje ověřování a zároveň dává
poskytovatelům možnost implementovat směrovací strategie.

Ve sporu
"Protokol S-BGP nemá šanci," říká Fred Baker ze společnosti Cisco a bývalý
předseda IETF. S tímto výrokem nesouhlasí Steve Kent, hlavní vědecký pracovník
BBN pro ochranu informací: "Některé možnosti nabízené protokolem soBGP by při
jeho nasazení znamenaly z hlediska bezpečnosti katastrofou. Existují důvodné
obavy, že po stránce architektury není soBGP dotažený."
Zabezpečení není jediným problémem BGP. Objevily se další veřejné i soukromé
iniciativy, které si kladou za cíl odstranit nedostatky BGP v oblasti
škálovatelnosti a spolehlivosti, protože průtok dat internetem se každoročně
zdvojnásobuje. Někteří říkají, že je čas opustit 14 let starý protokol, zatímco
jiní jsou toho názoru, že takový krok by přivodil drastické narušení funkčnosti
tisíců směrovačů, a tím i přístup k internetu.
"Zcela nový protokol vyvolává v hlavách lidí představy o velkých investicích i
velkém riziku," říká Martin Capurro, ředitel pro správu produktů společnosti
Qwest. "Rádi bychom viděli řešení, které stávající situaci vylepší bez
rozbourání současné infrastruktury." Nejde přitom podle něj o nereálný
požadavek.

Zádrhele v praxi
Navrhovaných vylepšení je mnoho. V oblasti spolehlivosti vyvinulo IETF a mnoho
dodavatelů směrovačů jako rozšíření pro BGP takzvané non-stop směrování/
předávání a bezproblémový restart, aby tok dat zůstal zachován i během resetu
protokolu.
Poskytovatelé internetu jsou však velmi vybíraví, pokud jde o implementaci
podobných revizí. Packet Design, nová firma vedená veteránkou této průmyslové
oblasti Judy Estrinovou, má takovou zkušenost hned z první ruky.
Tato firma loni zveřejnila BGP Scalable Transport, protokol pro efektivnější
předávání směrovacích informací BGP. "Snížením počtu vyžadovaných TCP spojení
mezi směrovači by tato technologie mohla zlepšit škálovatelnost, a snížit
bezpečnostní rizika a odstranit efekt ztracených spojení," říká Estrinová. Tato
technologie firmy Packet Design se však nikdy neujala.
"Měli jsme pocit, že dodavatelé směrovačů prostě nechtějí vynaložit energii
potřebnou k vylepšení BGP," říká Estrinová. "Poskytovatelé internetových služeb
procházeli obdobím reorganizace a konsolidace a nebyli schopni v tomto směru
vyvinout na dodavatele směrovačů dostatečný tlak. A nový protokol jsme
pochopitelně nemohli nasadit bez existujících směrovačů."

BGP postačuje
Dodavatelé směrovačů necítili potřebu implementovat takovou technologii.
"Nejedná se o něco, co bychom my jako implementátoři protokolu pokládali za
skutečně potřebné," vysvětluje podhled z druhé strany Matthew Kolon, starší
solutions engineer společnosti Juniper. "BGP jakožto univerzální protokol
obsahuje prvky potřebné pro implementaci škálovatelnosti i zabezpečení
vyžadované mezi poskytovateli internetových služeb," dodává.
"Mnoho ze současných problémů má co dělat s implementací," poznamenává dále
Kolon. "Omezení plynou ne z protokolu samotného, ale z obchodních a politických
vztahů, které jsou charakteristické pro současnou situaci," dodává.
Další dodavatel jen potvrzuje Kolonovy názory. Společnost Proficient Networks
vyrábí síťová zařízení a software, které mají umožnit snižování nákladů na
směrovací infrastrukturu WAN a zlepšit výkon aplikací, aby poskytovatelé
internetových služeb mohli dodávat na základě smluv na úrovni služeb (SLA,
Service-Level Agreement).
"BGP je opravdu o implementaci nikoli nezbytně o vadách protokolu," říká Allan
Leinwand, spoluzakladatel a prezident společnosti Proficient. "BGP bezpochyby
obsahuje určité bezpečnostní prvky, jako například kontrolní součty MD5 nebo
informační souhrny, zdá se však, že je nikdo nevyužívá. Rozhodně tedy existuje
způsob, jak se mohou funkční jednotky BGP vzájemně autentizovat a ověřit si, že
procházející data jsou platná a nejsou hackována, spoofována nebo opakována."
"Poskytovatelé internetových služeb pravděpodobně neimplementují prvky jako MD5
proto, že nejsou zahrnuty v letitých šablonách BGP používaných k vytvoření
peeringu a mezidoménových politik," říká Leinwand. "Poskytovatelé internetových
služeb také mohou mít obavy, že by technologie MD5, která klade vyšší nároky na
procesor směrovače, mohla ubírat výkon a případně i narušovat smlouvy SLA
uzavřené se zákazníky," dodává Leinwand. "Chtěli byste přidávat do BGP prvky a
funkce, které kladou vyšší nároky na procesor, pokud už předtím máte trochu
obavy z toho, že by případně nemusel být dostatečně škálovatelný?" ptá se
sugestivně.

Jde to
Telekomunikační společnost MCI používá MD5 k tomu, aby pro ni protokol BGP mohl
zajistit to, co v daném konkrétním okamžiku potřebuje. "Zapojujeme ho jen v
některých případech podle potřeby," říká Jennifer Brooksová, ředitelka pro IP
inženýrství MCI.
"Je jasné, že musíme zkoumat rizika nabourání BGP nebo krádež BGP připojení,"
říká. "Provést krádež je velmi obtížné. Není to něco, co byste mohli provést
přes standardní BGP propojení mezi dvěma rovnocennými uzly. Z hackerské
perspektivy je to obtížné, pokud nemáte k dispozici velké množství potřebných
informací," vysvětluje.
Firma AT&T vymyslela svou vlastní metodu, jak hlídat integritu směrovací
tabulky. Kromě filtrování cesty vyvinula monitor peeringu, který kontroluje
informace posílané do její sítě z jiných částí internetu.
PeerMon, jak ho AT&T nazývá, hledá případy, v nichž se někdo snaží
dezinterpretovat blok adres přidělený této telekomunikační společnosti. AT&T
pak dá nic netušícímu ISP potenciálního útočníka zprávu, že může být zapotřebí
překonfigurovat jeho síť; v případě, že má dezinterpretace škodlivý cíl, se
pokusí vystopovat pachatele.
"Neexistuje žádný oficiální rozpis toho, kdo vlastní jaký adresový blok," říká
Jennifer Rexfordová, technologická poradkyně v AT&T Bell Labs. "Takže když se
do protokolu zadá nějaká nesprávná informace, může to být tím, že někdo někde
něco nesprávně (nebo záměrně nesprávně) nastavil, a zanáší tak do protokolu
dezinterpretaci. I kdyby nakrásně BGP mohl kontrolovat zdroj této informace,
bylo by to velmi pomalé."
"Qwest používá MD5 ve všech interních BGP relacích a k ověřování identity
připojení při použití MPLS Resource Reservation Protocolu," říká Capurro. Qwest
podle něj také odděluje funkce BGP pro zrcadlení trasy od směrovače
vysílajícího pakety na separátních serverech.
"Takto může naše telekomunikační společnost oddělit veřejný a soukromý síťový
provoz, což uvolňuje cykly procesoru, zvětšuje paměť a minimalizuje
bezpečnostní rizika," vysvětluje výhody svého řešení Capurro.

Kudy dál
"BGP je adekvátní pro mezidoménovou směrovací infrastrukturu internetu, ale pro
výměnu řídících informací ve službách založených na IP a MPLS (například VPN)
je zapotřebí nový protokol," říká Brooksová. "V IETF se nyní velmi diskutuje o
škálovatelnosti BGP," vysvětluje dále. "Požadavky služeb na nové prvky a na
některá vylepšení ovlivňují celkový zdrojový kód implementace služeb BGP. Máme
ponechat BGP v jeho současné podobě a vytvořit nový protokol, který by se
použil pro VPN podle RFC 2547?," ptá se.
BGP nebyl původně určen pro podporu sítí VPN, ale byl za tímto účelem rozšířen.
"Některá z těchto rozšíření by mohla ovlivnit výkon a interoperabilitu
protokolu," dodává Brooksová. Na takové sekundární vady se podle ní narazí
vždy, když se prosadí snaha držet funkce pro služby a infrastrukturu pohromadě.
"Zatěžujeme BGP dalšími a dalšími prvky, se kterými v něm původně nebylo
počítáno," komentuje situaci.
Při obhajobě nového protokolu pro služby Brooksová říká, že BGP by měl zůstat
provozuschopným protokolem pro výměnu informací mezi autonomními systémy na
internetu.
"Myslím, že tohle se nezmění," říká. "Je příliš zahnízděn do sítí samotných,
aby kdy mohl být bezpečně odstraněn. Pokud byste se snažili přejít na něco
jiného než BGP, docházelo by k velké nestabilitě směrování."
Ani představitelé IETF si nemyslí, že se věci v dohledné době změní.
"Momentálně nepracujeme na definici nového protokolu pro směrování," říká
Zinin. "A nepracujeme aktivně ani na novém směrovacím a adresovacím systému
internetu."

Alternativní protokoly řeší problémy BGP
O problémech BGP se ví již dlouho a dlouho se také hledá řešení. Návrhy na
řešení bezpečnostních nedostatků protokolu Border Gateway Protocol by ale mohly
mít své vlastní problémy.
S-BGP
Secure BGP (S-BGP) firmy BBN má podle Steva Kenta, hlavního vědeckého
pracovníka BBN pro zabezpečení informací, vyřešit základní problém BGP:
autentičnost informací o aktualizaci směrování.
"To, co obecně činí bezpečnost BGP choulostivou, je fakt, že informace o
aktualizaci prochází internetem z jednoho místa do dalšího," říká. "Jeden ISP
říká druhému: ,Dostal jsem ohledně tohoto úseku adresového prostoru od jednoho
ze svých sousedů tuto směrovací informaci. Pokud mi chcete posílat nějaká data
pro tento úsek adresového prostoru, tohle je trasa, kterou se bude ubírat. V
současnosti zde zkrátka není žádné zabezpečení. Přijímající strana nemůže
žádným způsobem zjistit, zda je aktualizace, kterou obdržela, autentická."
S-BGP se snaží vytvořit infrastrukturu veřejného klíče, která používá digitální
certifikáty pro ověření autentičnosti dvou částí dat: které úseky adresového
prostoru jim byly alokovány a která čísla autonomních systémů jim byla
přiřazena.
"Jenže S-BGP zabraňuje ISP v možnosti vytvořit pro své směrovače vlastní
politiku," říká Fred Baker ze společnosti Cisco, která společně s poskytovateli
jako Genuity navrhla alternativní řešení nazvané Secure Origin BGP (soBGP).
"Při použití S-BGP nemůže poskytovatel služeb nižší úrovně aplikovat politiku,
která říká: ,Přijmu od vás tento prefix, a tento zase ne," říká Baker. "To
zásadně narušuje možnost použít BGP v systému politik, kde můžete přerozdělovat
informace. S-BGP je správný koncept, ale je poskládán dohromady tak, že ho
běžný ISP nemůže skutečně efektivně použít."

Nebo soBGP
Návrh soBGP si klade za cíl umožnit poskytovatelům ověřovat data o směrování a
aplikovat na ně svou politiku. Podle Kenta však soBGP poskytuje příliš mnoho
způsobů, jak provádět některé věci, což při rozdílné implementaci omezuje
interoperabilitu.
Internet Engineering Task Force působí jako prostředník ve sporu o S-BGP a
soBGP. Pracovní skupina pro bezpečnost směrovacího protokolu (Routing Protocol
Security Working Group) v rámci IETF vyvíjí takzvaný model nebezpečí, který se
pokouší zdokumentovat bezpečnostní požadavky kladené na internetové směrovací
systémy.
"Tato práce by mohla vytvořit prostředí, v němž by zastánci S-BGP a soBGP mohli
najít společné řešení," říká Alex Zinin, ředitel pro oblast směrování a Sub-IP
v IETF. "To by mělo pomoci naladit lidi na stejnou notu co se týče očekávání
vzhledem k zabezpečení směrovacích protokolů, na rozdíl od situace, kdy si
každý tvůrce protokolu nebo každý poskytovatel vytváří své vlastní závěry a
předpoklady," říká. Zda se jeho očekávání naplní, ukáží následující měsíce.

BGP slouží jako primární směrovací protokol internetu, který provádí
mezidoménové směrování v rámci autonomních systémů a mezi nimi. Autonomními
systémy se přitom rozumějí sítě nebo skupiny sítí se společnou správou a
společnými směrovacími politikami.
Vnitřní nebo sousední směrovače BGP si na začátku práce vymění své kompletní
směrovací tabulky BGP obsahující čísla autonomních systémů, IP adresy a trasy.
Směrovače vyměňující si aktualizace BGP uvnitř autonomního systému spouštějí
interní relace BGP (iBGP), zatímco směrovače nacházející se v různých
autonomních systémech spouštějí externí relace BGP (eBGP).

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.