28.5.1 A BGP biztonsága és robusztussága
A BGP az útvonalvektoros útválasztási protokollok osztályába tartozik, ahol minden csomópont minden célállomáshoz a “legjobb” útvonalat hirdeti az összes szomszédjának. Egy BGP-csomópont tárolja a szomszédai által küldött összes útvonalat, de csak azt használja és hirdeti, amelyik valamilyen adott irányelv szerint a “legjobb”. Ha ez az elsődleges útvonal meghibásodik, a BGP visszavonja ezt az utat, és kiválasztja a következő legjobb tartalék útvonalat. Az új útvonalat ezután meghirdeti a szomszédoknak.
A BGP népszerűségének alapvető oka, hogy nagy rugalmasságot biztosít az útvonalak beállításában és használatában, így minden internetszolgáltató (ISP) megvalósíthatja a kívánt irányelveket anélkül, hogy azokat nyilvánosságra kellene hoznia. Sajnos ez a rugalmasság és átláthatatlanság a BGP számos problémájának oka is, beleértve a különböző internetszolgáltatók inkompatibilis konfigurációit, az útvonalak minőségének vagy állapotának globális áttekinthetőségének hiányát, valamint az útválasztási problémák kezelésének összehangolt megközelítésére való képtelenséget . Például még akkor is, ha az összes útvonal kiválasztása szigorúan költségbecslések alapján történik, a BGP gyakran nemkívánatos viselkedést mutat, például hosszú konvergenciakésleltetést és oszcillációt, mivel az útvonal elérhetőségére vonatkozó információkat általában inkább levezetik, mintsem explicit módon továbbítják. Ennek eredményeképpen a BGP egy meghibásodott útvonalat a következő legjobbal helyettesíthet anélkül, hogy felismerné, hogy az útvonal helyi értékelése helytelen . Az útvonal érvényességére vonatkozó információ hiánya miatt a BGP több tartalék útvonalat is átnézhet, mielőtt kiválasztaná az érvényeset. A visszavonások/hirdetések ciklusa jelentős ideig folytatódhat. Ezt a késleltetést konvergencia késleltetésnek (vagy helyreállítási időnek) nevezik. Ezeket a sebezhetőségeket egy támadó akár arra is kihasználhatja, hogy a BGP rosszabbul viselkedjen, mint egyébként.
A konvergenciaproblémát széles körben vizsgálták a szakirodalomban . Különösen Labovitz et al. mutatta ki, hogy az izolált útvonal-visszavonások konvergenciakésleltetése az esetek 30%-ában meghaladhatja a három percet, és akár 15 perc is lehet. Azt is megállapították, hogy a csomagvesztési arány 30-szorosára, a csomagkésleltetés pedig 4x-esére nőhet a helyreállítás során. A BGP konvergencia-késleltetés javítására is számos kísérlet történt különböző technikák segítségével. A referencia a csomagkézbesítési teljesítmény kérdését vizsgálja, és javasol egy technikát a csomagveszteség és a késleltetés csökkentésére.
Most megvizsgáljuk maguknak az útválasztási tábláknak a robusztusságát. Bár az útválasztási táblákat nehéz közvetlenül megrongálni, a legitim útválasztási tábla-frissítési üzeneteket eltéríthetik, hogy ellentmondásos útválasztási táblákat hozzanak létre. Alternatív megoldásként hamis frissítő üzeneteket küldhetnek egyszerűen azért, hogy kimerítsék az útválasztók számítási, memória- vagy egyéb erőforrásait. Ehhez kapcsolódó probléma a QoS-beállítások megzavarása, amelyet a forgalom megfelelő kezelésének megzavarására lehet kihasználni. Az útvonalfrissítő üzenetek elhallgatása, megkettőzése vagy megváltoztatása téves kézbesítést és torlódást okozhat. Az ilyen támadásokat a szakirodalomban széles körben vizsgálták, és a védelmet kriptográfiai eszközökkel, például a frissítő üzenetek hitelesítésével és a csomagok tartalmának vagy fejlécének titkosításával oldják meg. A hivatkozás átfogó áttekintést nyújt a BGP sebezhetőségéről és számos védelmi mechanizmusról.
A biztonságos BGP (SBGP) aláírt útvonalfrissítéseket használ, két PKI-hierarchia felhasználásával, az egyik az IP-előtagok integritásának biztosítására, a másik az AS-számok esetében. Az SBGP fő célja az útvonalfrissítésekben rögzített “AS-útvonal” és a meghirdetett IP-előtagok integritásának biztosítása. (Az AS-útvonal azoknak az AS-eknek a listája, amelyeken egy BGP útvonalhirdetés vagy visszavonási üzenet áthalad, mielőtt eléri a célállomást). A PKI-hierarchia használata elengedhetetlen ahhoz, hogy minden IP-előtaghoz és AS-útvonalhoz legyen egy bizalmi lánc; a többszörös nyilvános kulcsműveletek szükségessége azonban meglehetősen lassúvá teszi a rendszert. Hu, Perrig és Johnson egy gyors mechanizmust tárgyalnak a BGP útválasztási frissítések biztosítására. A szerzők a szimmetrikus kriptográfia használata mellett érvelnek, amely sokkal hatékonyabb, mint a PKI használata. A frissítőcsomagok által bejárt útvonal mentén minden egyes csomópontnál üzenethitelesítési kódot (MAC) tartalmazó hash-láncok használatát javasolják annak biztosítására, hogy a frissítéseket ne hamisítsák meg, és hogy az útvonalhoz csomópontokat adjanak hozzá vagy távolítsanak el. Bár egy ilyen rendszer képes biztosítani a frissítéseket, a kulcscserével és a MAC-ek hash-láncokon keresztüli ellenőrzésével kapcsolatos problémák továbbra is fennállnak. Az interdomain Route Validation (IRV) egy egészen másfajta hitelesítés, ahol egy IRV-kiszolgáló minden egyes AS-ben opcionálisan érvényesítheti a frissítést az AS feladójától.
Noha a kriptográfiai technikák képesek biztosítani az útválasztási frissítéseket az illetéktelen változtatások ellen, extra bonyolultságot hoznak magukkal, és így növelik a félrekonfigurálások esélyét. Valójában a PKI-hierarchiát használó SBGP problémái hasonlóak a 28.3.3. szakaszban tárgyalt DNSSEC-problémákhoz.
Ritkán előfordulhat, hogy egy kapcsolódó rendszer maga is rosszindulatúvá válik, esetleg egy ellenfél kompromittálódása miatt. Egy rosszindulatú BGP-rendszerrendszer például úgy dönthet, hogy nem von vissza egy nem működő útvonalat, vagy nem vesz fel egy működő útvonalat az aktuális útvonalak halmazába. Egy rosszindulatú AS azt is hamisan hirdetheti, hogy ő rendelkezik a legkívánatosabb (pl. legrövidebb) útvonallal egy bizonyos célállomáshoz. Ez azt eredményezi, hogy a célállomásra irányuló összes forgalmat ezen a kapcsolódó rendszeren keresztül kell továbbítani, és a kapcsolódó rendszer vagy kikémlelheti a forgalmat, vagy egyszerűen elvetheti annak egy részét vagy egészét, és szolgáltatásmegtagadást okozhat. Az AS-útvonal módosítása szintén hasonló hatásokat okozhat. A robusztus útválasztás elérése néhány rosszindulatú AS ellenére nagyon nehéz lehet, de elegendő lehet egyszerűen felismerni és karanténba zárni az ilyen AS-eket.