BGP tīkla plūsmas pārtveršana un kā to novērst

27. aprīlī izskanēja ziņa par Visa, Mastercard un citu finansu uzņēmumu tīkla plūsmas pārvirzīšanu caur Krievijas kontrolētā telekomunikāciju uzņēmuma Rostelecom tīklu. Pārvirzīšanas iemesli bija neskaidri.

Kā varēja notikt pārtveršana?

Anomālijas BGP (Border Gateway Protocol), kas kontrolē tīkla plūsmu internet pamattīklā, ir novērojamas regulāri un parasti ir cilvēciskas kļūdas rezultāts. Pastāv neliela iespēja, ka arī 27. aprīlī notikusī pārvirze bija kļūda, taču veids, kā daļa tīkla plūsmas tika pārvirzīta, liecina par manuāli veiktām izmaiņām BGP tabulās. Izmaiņas iespējams, veicis Rostelecom, lai varētu nepamatoti paziņot, ka šis uzņēmums pārvalda noteiktus tīkla apgabalus, un tīkla plūsma tiktu virzīta caur šīs kompānijas maršrutētājiem.

Šāda tīkla plūsmas pārtveršana ir iespējama, ja brīdī, kad kāda autonomā sistēma (AS) piesaka savu tīklu, nenotiek tīkla piederības vai integritātes pārbaude.

Kā izvairīties no pārtveršanas?

Pilnībā izsargāties no tīkla pārtveršanas nav iespējams, var tikai monitorēt, lai uzzinātu, kad šādas anomālijas notiek. Ja tīkla sasniedzamība netiek monitorēta, var rasties situācija, ka tīkla īpašnieks ilgstoši nezina, ka daļa interneta lietotāju to nevar sasniegt.

RPKI (Resource Certification) projekts, kas paredzēts, lai pārbaudītu tīkla īpašnieku, ir ieviešanas sākumstadijā. Ļoti maza daļa  maršrutētāju šobrīd spēj veikt vai veic tīklu pieteikumu atbilstības pārbaudi, turklāt ROA (Route Origin Authorisation) validāciju iespējams apiet, izliekoties par citu AS (spoofing), jo pagaidām nav iespējama pilnā ceļa AS_PATH pārbaude.

Dažas tīklu pieejamības monitorēšanas metodes:

Izmantojot reālā laika rīku BGPMon, iespējams sekot BGP pieteikumiem un saņemt ziņas par neautorizētu pieteikumu gadījumiem uz e-pastu.

Vietnē https://bgpstream.com/ monitorēt savu AS nr, lai iegūtu informāciju par kļūdām sava tīkla pieteikumos, iespējamiem neautorizētiem pieteikumiem (tīkla pārtveršanas mēģinājumiem), kā arī saņemtu paziņojumus par tīkla pieejamības problēmām.

Izmantojot RIPE LIR portālu (ja pats uzņēmums nav LIR, tad lūgt to darīt savam LIR/Internetapakalpojumu sniedzējam) izveidot ROA (Route Origin Authorisation) ierakstus, kas norādīs, kuras AS ir tiesīgas pieteikt konkrētos tīklus kā savējos. Rezultātā, maršrutētājos, kas veic RPKI validāciju, visi atbilstošie BGP pieteikumi tiks atzīmēti kā RPKI Valid, bet neautorizēti pieteikumi (arī BGP pārtveršanas mēģinājumi) kā RPKI Invalid. Papildu funkcionalitāte šim servisam ir e-pasta saņemšana par izmaiņām, kas skar jūsu tīklu un tiek pamanītas globālajā BGP tabulā.

Der arī pārliecināties, ka RIPE datu bāzē par jūsu uzņēmuma tīkliem ir korekti dati, lai nerastos situācija, ka neatjaunoti ieraksti norāda par problēmām ar jūsu tīklu, bet īstenībā šo tīklu vairs nelietojat.

Galvenais ieteikums ir veikt monitoringu, un konstatējot, ka kāds veic neautorizētu jūsu tīkla pieteikumu, nekavējoties mēģināt sazināties ar interneta pakalpojumu sniedzēju, kurš sācis pieteikt jūsu tīklu, lai šo pieteikumu pārtrauktu.

Detalizēta informācija par šādu incidentu risināšanu pieejama šeit:
https://www.sans.org/reading-room/whitepapers/incident/bgp-hijinks-hijacks-incident-response-backbone-enemy-37422

Ieteicamie resursi:
https://bgpmon.net/securing-bgp-routing-with-rpki-and-roas/
https://www.ripe.net/manage-ips-and-asns/resource-management/certification
https://www.sans.org/reading-room/whitepapers/incident/bgp-hijinks-hijacks-incident-response-backbone-enemy-37422

Bezmaksas rīki:
https://bgpmon.net/services/
https://www.ripe.net/manage-ips-and-asns/resource-management/certification/tools-and-resources