Cloudflare запускает инструмент проверки безопасности Border Gateway Protocol

Cloudflare говорит, что больше нет оправданий, когда речь заходит о безопасности BGP, с появлением нового инструмента, который может заставить  интернет-провайдеров отвечать за свои меры безопасности BGP.

На прошлой неделе провайдер облачных услуг заявил, что проблемы безопасности протокола пограничного шлюза (BGP) слишком долго были признанной частью ландшафта угроз, с утечками данных и угона ordinary case.

Протокол BGP используется для облегчения маршрутизации трафика интернет-провайдерами (ISP). Система используется с 1980-х годов и претерпела эволюцию в течение этого времени, включая введение новых мер безопасности, включая TLS, DNSSEC,и проекты, такие как Resource Public Key Infrastructure (RPKI), чтобы попытаться предотвратить утечки и угоны.

Однако эти атаки все еще продолжаются на уровне интернет-провайдера. Например, российский государственный поставщик телекоммуникационных услуг "Ростелеком" подозревается в том, что он является повторным похитителем BGP.

Ранее в этом месяце трафик, предназначенный для более чем 200 поставщиков облачных услуг и сетей доставки контента (CDN), включая Google, Amazon, Akamai и Cloudflare, был перенаправлен через серверы интернет-провайдера.

В прошлом году China Telecom в течение двух часов перенаправляла европейский трафик через свои собственные серверы. хотя неизвестно, был ли инцидент злонамеренным или произошел из-за человеческой ошибки.

Взлом BGP может привести к компрометации данных, а также к отключению Интернета.

На прошлой неделе Cloudflare заявил, что «пришло время обезопасить BGP», и у интернет-провайдеров больше нет оправданий не предпринимать никаких действий. Чтобы попытаться привлечь интернет-провайдеров к ответственности, компания запустила isBGPSafeYet.com, веб-сайт, который можно использовать для проверки того, использует ли ваш провайдер RPKI, что помогает отфильтровывать недопустимые маршруты трафика.

Два префикса используются для тестирования RPKI. Тест заставит ваш браузер попытаться получить две страницы: valid.rpki.cloudflare.com и invalid.rpki.cloudflare.com. Первая страница за RPKI-действительный префикс, а второй находится за RPKI-недействительным префиксом.

Если обе страницы выбираются без проблем, это означает, что провайдер принял недопустимый маршрут и не включил RPKI. Cloudflare говорит, что если valid.rpki.cloudflare.com - единственная страница, которая была выбрана, ваш провайдер включил меру безопасности, и пользователи «менее чувствительны к утечкам маршрута». Если вы проверите своего интернет-провайдера и обнаружите, что RPKI не установлен, на веб-странице появится сообщение в виде твита:

«К сожалению, мой интернет-провайдер (XXX) НЕ внедряет BGP безопасно. Проверьте https://isbgpsafeyet.com, чтобы убедиться, что ваш провайдер реализует BGP безопасным способом или он делает Интернет уязвимым для злонамеренных захватов маршрутов».

Другими словами, есть надежда, что общественное давление может увеличить принятие RPKI большим количеством провайдеров интернет-услуг.

RPKI не является надежным стандартом для предотвращения взлома BGP, но компания утверждает, что тесты показывают, что примерно половина всех сетей, использующих этот инструмент, менее подвержена утечкам маршрутов.

«Мы ожидаем, что эта инициатива сделает RPKI более доступной для всех и в конечном итоге уменьшит влияние утечек на маршрутах», - говорит Cloudflare. Сценарии, используемые isbgpsafeyet.com, доступны на GitHub.