28.5.1 Securitatea și robustețea BGP
BGP aparține clasei de protocoale de rutare vectorială, în care fiecare nod anunță „cea mai bună” rută pentru fiecare destinație tuturor vecinilor săi. Un nod BGP stochează toate căile trimise de vecinii săi, dar o utilizează și o anunță doar pe cea care este „cea mai bună” în conformitate cu o anumită politică. În cazul în care această cale principală eșuează, BGP retrage această cale și selectează următoarea cea mai bună cale de rezervă. Noua rută este apoi anunțată vecinilor săi.
Motivul fundamental al popularității BGP este marea sa flexibilitate în ceea ce privește configurarea și utilizarea rutelor, astfel încât fiecare furnizor de servicii de internet (ISP) poate implementa politicile dorite fără a fi nevoit să le facă publice. Din nefericire, această flexibilitate și opacitate sunt, de asemenea, cauza multor probleme cu BGP, inclusiv configurații incompatibile de către diferiți ISP, lipsa de vizibilitate globală în ceea ce privește calitatea sau starea rutelor și incapacitatea de a monta o abordare coordonată pentru gestionarea problemelor de rutare . De exemplu, chiar dacă toate căile sunt alese strict pe baza estimărilor de costuri, BGP prezintă adesea un comportament nedorit, cum ar fi întârzieri mari de convergență și oscilații, deoarece informațiile privind disponibilitatea căii sunt de obicei deduse mai degrabă decât propagate în mod explicit. Ca urmare, BGP poate înlocui o cale eșuată cu următoarea cea mai bună cale fără să realizeze că evaluarea sa locală a acestei căi este incorectă . Această absență de informații despre validitatea unei rute poate determina BGP să treacă prin mai multe rute de rezervă înainte de a selecta una validă. Ciclul de retrageri/anunțuri poate continua pentru o perioadă de timp considerabilă. Această întârziere este cunoscută sub numele de întârziere de convergență (sau timp de recuperare). Aceste vulnerabilități pot fi chiar exploatate de un atacator pentru a face ca BGP să se comporte într-un mod mai rău decât altfel.
Problema convergenței a fost examinată pe larg în literatura de specialitate . În special, Labovitz et al. au arătat că întârzierea de convergență pentru retragerile izolate de rute poate fi mai mare de trei minute în 30% din cazuri și ar putea ajunge până la 15 minute. Aceștia au constatat, de asemenea, că rata de pierdere a pachetelor poate crește de 30 de ori și întârzierea pachetelor de 4 ori în timpul recuperării. Există, de asemenea, numeroase încercări de îmbunătățire a întârzierii de convergență BGP printr-o varietate de tehnici . Reference examinează problema performanței de livrare a pachetelor și propune o tehnică pentru a reduce pierderea și întârzierea pachetelor.
Acum vom examina robustețea tabelelor de rutare în sine. Deși este dificil de a corupe direct tabelele de rutare, mesajele legitime de actualizare a tabelelor de rutare ar putea fi deturnate pentru a crea tabele de rutare incoerente. Alternativ, mesajele de actualizare false ar putea fi trimise pur și simplu pentru a epuiza resursele de calcul, de memorie sau alte resurse ale routerelor. O problemă conexă este cea a perturbării setărilor QoS, care poate fi exploatată pentru a perturba tratamentul adecvat al traficului. O suprimare, o duplicare sau o modificare a mesajelor de actualizare a rutelor poate provoca o livrare eronată și o congestie. Astfel de atacuri au fost analizate pe larg în literatura de specialitate, iar protecția se face prin mijloace criptografice, cum ar fi autentificarea mesajelor de actualizare și criptarea conținutului pachetelor sau a antetelor. Referința oferă un studiu cuprinzător al vulnerabilităților BGP și numeroase mecanisme de protecție.
Secure BGP (SBGP) utilizează actualizări de rute semnate prin utilizarea a două ierarhii PKI, una pentru a asigura integritatea prefixelor IP și cealaltă pentru numerele AS. Obiectivul principal al SBGP este de a asigura integritatea „AS-path” înregistrat în actualizările de rute și a prefixelor IP anunțate. (AS-path este lista de AS-uri prin care trece un mesaj de anunțare sau de retragere a unei rute BGP înainte de a ajunge la destinație). Utilizarea ierarhiei PKI este esențială pentru a avea un lanț de încredere pentru fiecare prefix IP și AS-path; cu toate acestea, necesitatea de a efectua mai multe operațiuni cu chei publice face ca sistemul să fie destul de lent. Hu, Perrig și Johnson discută un mecanism rapid de securizare a actualizărilor de rutare pentru BGP. Autorii pledează pentru utilizarea criptografiei simetrice, care este mult mai eficientă decât utilizarea PKI. Ei pledează pentru utilizarea lanțurilor hash care implică un cod de autentificare a mesajelor (MAC) la fiecare nod de-a lungul traseului parcurs de pachetele de actualizare pentru a se asigura că actualizările nu sunt falsificate și că nodurile sunt adăugate sau eliminate de pe traseu. Deși o astfel de schemă poate securiza actualizările, există încă probleme legate de schimbul de chei și de costurile de verificare a codurilor MAC în cadrul lanțurilor hash. Validarea rutelor între domenii (Inter-domain Route Validation – IRV) este o autentificare foarte diferită, în care un server IRV din fiecare AS poate valida opțional actualizarea de la inițiatorul AS.
Deși tehnicile criptografice sunt capabile să securizeze actualizările de rutare împotriva modificărilor neautorizate, acestea aduc un plus de complexitate și, prin urmare, cresc șansele de neconfigurare greșită. De fapt, problemele SBGP, care utilizează o ierarhie PKI, sunt similare cu problemele DNSSEC discutate în secțiunea 28.3.3.3.
În cazuri rare, un AS poate deveni el însuși rău intenționat, poate din cauza compromiterii de către un adversar. De exemplu, un AS BGP rău intenționat poate decide să nu retragă o rută nefuncțională sau să nu introducă o rută funcțională în setul de rute curente. Un AS rău intenționat ar putea, de asemenea, să anunțe în mod fals că are cea mai dorită (de exemplu, cea mai scurtă) cale către o anumită destinație. Acest lucru va face ca tot traficul către destinație să fie direcționat prin intermediul acestui AS, iar AS-ul poate fie să spioneze traficul, fie să respingă pur și simplu o parte sau întregul trafic și să provoace o negare a serviciului. Modificarea AS-path poate avea, de asemenea, un impact similar. Realizarea unei rute robuste în ciuda unor AS malițioși poate fi foarte dificilă, dar poate fi suficientă simpla detectare și punere în carantină a unor astfel de AS.
.