Незащищенность маршрутизаторов угрожает Сети

В граничном шлюзовом протоколе (Border Gateway Protocol – BGP), технологии, широко используемой для эффективной маршрутизации данных по интернету, полно дыр в защите и он нуждается в замене, предупредил консультант по информационной безопасности.

Роберт Лемос (Robert Lemos), CNET News.com 
Однако разработке надежной замены для BGP мешает технологическая проблема курицы и яйца, утверждает Стивен Дюган (Stephen Dugan), выступивший на состоявшейся на прошлой неделе в Сиэтле конференции Black Hat Security Briefings. Усовершенствование возможно только в том случае, если надежный протокол будет установлен на большинстве маршрутизаторов, однако из-за высокой стоимости внедрения Secure BGP на это пойдут не многие компании.

«Те, кто составляют технические проекты (для интернета), остаются без финансирования, потому что люди их не слушают, — заявил Дюган. — Нам необходимо разработать новую технологию, пока систему не атаковали. Но раз атак нет, компании не хотят тратить деньги».

В настоящее время BGP используют около 12 тыс. маршрутизаторов, выполняющих функции шлюзов примерно для 130 тыс. сетей. Маршрутизатор, исполняющий BGP, может устанавливать связь со своими соседями, сообщая им, в какие сети этот маршрутизатор может передавать данные эффективно.

Однако, если маршрутизатор неправильно сконфигурирован или атакован злоумышленником, он может создать хаос, ложно объявив себя лучшим маршрутом для некоей сети. Маршрутизаторы, использующие BGP, слепо доверяют своим соседям по интернету, не требуя от них каких-либо цифровой идентификации. Поэтому простой подлог позволяет атакующему перенаправить трафик, перехватить данные, создать информационную «черную дыру» и даже замаскироваться под другой сервер.

«Это может сделать любой сервис-провайдер в интернете, — сказал Дюган. — Нам необходимо исключить доверчивые маршрутизаторы».

Это не чисто теоретическая проблема. В апреле 1997 года мелкий интернет-сервис-провайдер в штате Вирджиния неправильно сконфигурировал свой маршрутизатор, в результате чего тот объявил себя лучшим маршрутом для всего интернета. Последовавшая за этим лавина данных заблокировала этот маршрутизатор и нарушила работу крупных сегментов интернета, так что в некоторых местах связь отсутствовала в продолжение двух часов.

Даже правительство США обратило внимание на незащищенность маршрутизаторов интернета. Недавно администрация Буша назвала BGP критической технологией, нуждающейся в укреплении защиты, наряду с системой доменных имен (DNS). «Существенное влияние на безопасность и продолжение функционирования интернета окажет успех или неудача внедрения более надежных и защищенных версий BGP и DNS, — говорится в заявлении правительства „О национальной стратегии защиты киберпространства”. — Гарантия продолжения работы этих систем жизненно важна для страны».

Однако, несмотря на опасность, работа продвигается медленно. Организация Internet Engineering Task Force (IETF), которая устанавливает технические стандарты для интернета, разработала спецификацию Secure BGP. Но производители сетевого оборудования медлят с освоением новой технологии, так как для этого потребуется дорогостоящая инфраструктура управления цифровыми подписями и модернизация оборудования.

Дюган согласен, что расходы могут быть большими и что усовершенствования приведут к удорожанию эксплуатации интернета. «Стоимость выделения адреса повысится, — сказал он. — Но это работа, которую необходимо проделать».


или введите имя

CAPTCHA