コンテンツ
取り除く:
BGPが開発されたとき、ネットワークセキュリティは問題ではありませんでした。それが、BGPの問題が最大の利点でもある理由です。そのシンプルさです。
セキュリティの脆弱性に関しては、バッファオーバーフロー攻撃、分散型サービス拒否攻撃、およびWi-Fi侵入が多く行われています。これらのタイプの攻撃は、より人気のあるIT雑誌、ブログ、ウェブサイトで十分な注目を集めていますが、その性的魅力は、多くの場合、すべてのインターネット通信のバックボーンであるIT業界内の領域、Border Gateway Protocolを覆い隠すのに役立ちます(BGP)。結局のところ、この単純なプロトコルは悪用される可能性があり、それを保護しようとするのは簡単なことではありません。 (技術的な脅威の詳細については、悪意のあるソフトウェア:ワーム、トロイの木馬、ボット、Oh My!を参照してください。)
BGPとは
ボーダーゲートウェイプロトコルは、基本的に1つの自律システム(AS)から別の自律システムにトラフィックをルーティングする外部ゲートウェイプロトコルです。この点で、「自律システム」とは、インターネットサービスプロバイダー(ISP)が自律しているドメインを指します。したがって、エンドユーザーがISPとしてAT&Tに依存している場合、AT&Tの自律システムのいずれかに属します。特定のASの命名規則は、ほとんどの場合AS7018またはAS7132のようになります。
BGPは、2つ以上の自律システムルーター間の接続を維持するためにTCP / IPに依存しています。インターネットが指数関数的に成長していた1990年代に人気を博しました。 ISPには、トラフィックを他の自律システム内のノードにルーティングする簡単な方法が必要でした。BGPのシンプルさにより、ドメイン間ルーティングの事実上の標準になりました。そのため、エンドユーザーが別のISPを使用するユーザーと通信する場合、それらの通信は少なくとも2つのBGP対応ルーターを通過します。
一般的なBGPシナリオの実例は、BGPの実際のメカニズムにいくらかの光を当てる場合があります。 2つのISPがそれぞれの自律システムとの間でトラフィックをルーティングする契約を締結するとします。すべての書類に署名し、契約がそれぞれの法的ビーグルによって承認されると、実際の通信はネットワーク管理者に引き渡されます。 AS1のBGP対応ルーターは、AS2のBGP対応ルーターとの通信を開始します。接続はTCP / IPポート179を介して開始および維持されます。これは初期接続であるため、両方のルーターはルーティングテーブルを相互に交換します。
ルーティングテーブル内では、特定のAS内のすべての既存ノードへのパスが維持されます。完全なパスが利用できない場合、適切なサブ自律システムへのルートが維持されます。初期化中にすべての関連情報が交換されると、ネットワークは収束していると言われ、今後の通信には更新と生存中の通信が含まれます。
かなり簡単でしょう?そうです。それがまさに問題です。なぜなら、これが非常に単純であるために非常に不穏な脆弱性がもたらされるからです。
なぜ気にする必要があるのですか?
これはすべて順調ですが、コンピューターを使用してビデオゲームをプレイしたり、Netflixを視聴したりする人にどのような影響がありますか?すべてのエンドユーザーが留意すべきことの1つは、インターネットがドミノ効果の影響を非常に受けやすく、BGPがこれに大きな役割を果たすことです。正しく行われた場合、1つのBGPルーターをハッキングすると、自律システム全体のサービス拒否が発生する可能性があります。
特定の自律システムのIPアドレスプレフィックスが10.0.x.xであるとします。このAS内のBGP対応ルーターは、このプレフィックスを他の自律システム内の他のBGP対応ルーターにアドバタイズします。ほとんどのホームユーザーは多くの場合ISPレベルでの進行から隔離されているため、これは通常、特定のAS内の数千のエンドユーザーに対して透過的です。太陽が輝いていて、鳥が歌っていて、インターネットのトラフィックがハミングしています。 Netflix、YouTube、Huluの画像品質は非常に手付かずであり、デジタルライフがこれまでになく向上しています。
バグやストレスなし-あなたの人生を破壊することなく人生を変えるソフトウェアを作成するためのステップバイステップガイド
誰もソフトウェアの品質を気にしない場合、プログラミングスキルを向上させることはできません。
ここで、別の自律システム内の悪名高い個人が、10.0.x.x IPアドレスプレフィックスの所有者として自分のネットワークの広告を開始したとしましょう。さらに悪いことに、このネットワーク悪役は、彼の10.0.x.xアドレス空間のコストが、前述のプレフィックスの正当な所有者よりも低いことを宣伝しています。 (コストでは、ホップ数の減少、スループットの増加、輻輳の減少などを意味します。このシナリオでは財政は無関係です)。突然、エンドユーザーのネットワークに向けられていたすべてのトラフィックが突然別のネットワークに転送されます。これを防ぐためにISPができることはあまりありません。
2010年4月8日に、上記のシナリオと非常によく似たシナリオが発生しました。このシナリオでは、中国内のISPが40,000の偽のルートに沿って何かを宣伝しました。 18分間、膨大な量のインターネットトラフィックが中国の自律システムAS23724に転送されました。理想的な世界では、この誤った方向のトラフィックはすべて暗号化されたVPNトンネル内にあるため、傍受者にとって多くのトラフィックが使用できなくなりますが、これは理想的な世界とは言えません。 (仮想プライベートネットワークでのVPNの詳細:ブランチオフィスソリューション。)
BGPの未来
BGPの問題は、その最大の利点でもあります:そのシンプルさ。 BGPが世界中のさまざまなISPの間で実際に定着し始めたとき、機密性、信頼性、または全体的なセキュリティなどの概念についてはあまり考慮されていませんでした。ネットワーク管理者は、単に相互に通信したかっただけです。インターネットエンジニアリングタスクフォースは、BGP内の多くの脆弱性に対する解決策の研究を続けていますが、インターネットなどの分散エンティティを保護しようとすることは決して簡単なことではなく、現在インターネットを使用している何百万人も単に容認する必要があるかもしれませんたまにBGPを利用します。