به طور معمول، سرقت BGP نوعی از حادثه است که سازمانها توجه و تمرکز زیادی روی اون دارن و کنترلهای امنیتی زیادی برای جلوگیری از اون انجام میشه و به حق، بدافزاری که از یک آسیب پذیری یا خطای انسانی سوء استفاده میکنه میتونه به سازمان آسیب جدی برسونه.
با این حال، این دست از حملات که شبکه یه سازمان یا مؤلفههای زیرساخت اینترنتی مثل پروتکل بی جی پی (Border Gateway Protocol) رو هدف قرا میدن، عمدتا نادیده گرفته میشن. حملات سرقت BGP هنوز به مراتب کمتر از حملات DDoS است، اما چندین رویداد اخیر، این روش غیرمعمول رو به یکی از عناوین اصلی خبری در دنیای اینرنتی تبدیل کرده است.
BGP چیست؟
قبل از این که درباره سرقت پروتکل دروازه ای مرزی صحبت کنیم، بهتره ببینیم اصلاً این پروتکل چیه!
برخی از متخصصین، BGP رو چسب اتصال اینترنت میدونن. خیلیها ممکنه استدلال کنن که این سیستم نام دامنه (DNS) است که این نقش رو بازی میکنه، با توجه به این که میشه در پرونده zone رکوردهای چسب وجود داشته باشه. با این حال، بدون BGP ، بسته های شما به مقصد مورد نظر خودشون نمیرسن.
BGP پروتکل مسیریابی اینترنت هست. از این روش برای تعیین بهینهترین راه برای ردیابی داده ها بین شبکههای مستقلی که به عنوان سیستمهای خود گردان (AS) شناخته میشن، استفاده میشه. از نظر فنی، AS مجموعهای از پیشوندهای IP هست که به اونها یه شماره سیستم مستقل (ASN) اختصاص داده میشه.
اگه شما داخل شهر جدیدی باشین و بخواین ببینین که فلان کافه تو کدوم خیابونه، از یه دفتر تلفن یا کتاب راهنمایی که آدرس کافهها رو داخلش نوشته باشه استفاده میکنین و سپس برای این که کوتاهترین مسیر تا کافه رو مشخص کنین سراغ یه نقشه میرین!
پس BGP چسب اینترنت و ارتباطات از راه دوره. در واقع، BGP به یکی از مهمترین ابزاری هایی تبدیل شده که همه چیز رو بهم متصل میکنن. پس حمله یا سرقت BGP میتونه باعث جدا شدن این اتصال و ایراد در مسیرهای اینترنتی بشه.
شناخت امروز دنیای اینترنت، موبایلف یا مخابرات به درک اساسی نحوه سازماندهی شبکهها نیاز داره. اگه سرویس BGP peering مختل بشه یا کسی تبلیغ مسیرهای غیرمجاز رو در اینترنت بکنه، خدماتی که اپراتور تلفن همراه ارائه میده مختل میشه. پروتکل و رویکرد BGP در خدمت اینترنت و سایر شبکههای ارتباط از راه دور است. BGP فناوری و انعطاف پذیری شغلی فراهم میکنه که مقیاس پذیری خلاقیت رو در سراسر جهان تسهیل میکنه. نکته ای که تعداد کمی متوجهش هستن، میزان شکنندگی BGP است که همه ما باید با اون زندگی کنیم.
مسیریابی BGP چطوری کار میکنه؟
برای این که سرقت پروتکل دروازه ای مرزی رو بهتر درک کنین باید ببینین اصلاً روتر بی جی پی چطوری کار میکنه! یک روتر BGP از جدول بزرگی به نام پایگاه اطلاعات مسیریابی (RIB) استفاده میکنه که شبکه هایی رو که میتونه به اونها دسترسی پیدا کنه و کارآمدترین مسیرها برای این شبکه ها رو توصیف میکنه. BGP Peers سیستمهایی هستن که روتر از اونها اطلاعات (شبکه ها یا پیشوندها) رو دریافت میکنه. اینها به صورت دستی پیکربندی میشن.
اصولاً BGP Peer ها به روتری میگن که باید اطلاعات دریافت شده توسط سایر Peer های خودش که به صورت دستی وارد شده رو پردازش کنه. سپس روتر میتونه با ترکیب اطلاعاتی که از همتایان مختلف دریافت میکنه، کارآمدترین مسیر رسیدن به مقصد رو ارائه بده.
سرقت BGP یا سرقت پروتکل دروازه ای مرزی چیه؟
قبل از این که BGP Hijacking رو براتون باز کنیم، یه سری به چند تا پارگراف بالاتر میزنیم و دوباره از اصطلاح «سامانهی خودگردان» یا Autonomous System استفاده میکنیم. یه سامانهی خودگردان، شبکهای بزرگ یا مجموعهای از شبکههایی هست که متعلقه به یک فراهم کننده خدمات اینترنتی یا همون (ISP) یا سازمان خیلی بزرگ. برای هر AS یک شماره در نظر گرفته میشه که اصطلاحاً بهش میگن: Autonomous System Number یا ASN.
حالا سرقت بی جی پی وقتی اتفاق میفته که یکی از این سامانه های خودگردان، ادعا کنه مجموعهای از IP ها مال اون هستن! البته باید توجه داشته باشین که همچین اتفاقی همیشه عمدی نیست و گاهی وقتها بهخاطر خطاهای پیکربندی هم اتفاق میفته، مثلاً ممکنه خطای انسانی همون تأثیر حمله سرقت BGP رو ایجاد کنه.
دو نوع حمله اصلی وجود داره: یک حمله کامل سرقتی که یه پیشوند IP خاص رو میگیره، در حالی که یه حمله جزئی هم داریم و در اون مهاجم با اعلام همون پیشوند با همون کارایی با منبع قانونی رقابت میکنه.
همونطوری که قبلا گفتیم، BGP طوری طراحی شده که یه مسیر کوتاه رو برای تبادل اطلاعات بین دو تا رایانه انتخاب کنه، پس لازمهء همچین سرقتی دو تا شرط اساسیه:
- مسیری که برای بلوکهای IP ارائه میشه، باید کوتاهتر از مسیر اصلی باشن.
- حمله کننده باید یه محدوده کوچیکتری از IP های سامانه خودگردان اصلی رو ارائه بده.
چنین حملهای اگه به طور موفقیت آمیز انجام بشه، باعث تغییر مسیر ترافیک قربانی میشه و اینطوری حمله کننده، اون ترافیک رو در اختیار میگیره و تا زمانی که قربانی متوجه نشده، سرقت ادامه خواهد داشت.
تأثیر سرقت BGP
بارزترین تأثیر دزدی BGP اینه که بستههای اطلاعاتی یا داده ها بهینهترین مسیر خودشون رو طی نمیکنن و سرعت اتصال کاربران به شبکه رو کاهش میدن.
از این بدتر، مهاجمان میتونن ترافیک یه سازمان رو گم کنن یا اصلاحاً وارد سیاه چاله کنن؛ بنابراین منجر به قطع شدن سیستم، شبیه حمله DDoS میشه. به همین ترتیب، مهاجمان میتونن منابع خاصی از اطلاعات رو با خالی کردن شبکه های خاص سانسور کنن.
تغییر مسیر باعث میشه تا مهاجم واسطهای در جریان شبکه باشه، به این معنی که اون میتونه قسمتهای خاصی از ارتباط رو استراق سمع کنه، یا حتی در برخی موارد ترافیک رو تغییر بده. اونها همچنین میتونن ترافیک مشتریان یا کاربران شما رو به سایت های مخربی که وانمود میکنن بخشی از شبکه شما هستن هدایت کنن. این کار میتونه منجر به سرقت اطلاعات یا مدارک معتبر یا تحویل بدافزار بشه که از نقاط ضعف، سوء استفاده میکنه.
علاوه بر این، اسپمرها میتونن از اعتبار خوب ASN شما برای ایجاد هرزنامهها سوء استفاده کنن و اگه توسط فیلترهای هرزنامه مسدود بشن، این کار میتونه روی شبکه شما تأثیر منفی بذاره.
خطر: احتمال حمله ثانویه!
در برخی موارد، bgp hijacking ممکنه هدف نهایی مهاجم نباشه. هدف ممکنه سرقت مدارک تحصیلی یا هدایت کاربران به سمت منابعی باشه که به طور بالقوه میتونن از سیستم اونها سوء استفاده کنن.
در مرحله پاسخ حادثه، مهمه که از این احتمال آگاه باشین و سعی کنین تا جایی که ممکنه مطالبی رو جمع آوری کنین که میتونن به شما در تجزیه و تحلیل این حملات کمک کنن. منابع اطلاعاتی ارزشمند شامل DNS غیرفعال، تاریخچه گواهی Secure Sockets Layer) SSL) و ضبط کامل بسته است.
نحوه تشخیص سرقت پروتکل دروازه ای مرزی
یکی از مشکلات حملات BGP اینه که این حملات همیشه خیلی طولانی نیستن؛ بنابراین تا زمانی که میدونین حملهای در حال وقوعه، میتونین شرایط رو به حالت عادی برگردونین. این امر روی اهمیت پیاده سازی ابزارهای نظارتی و ایجاد گردش کار هشدار دهنده موثر تأکید میکنه.
با نظارت روی مسیرهای BGP که به AS شما مربوط میشن، کار رو شروع کنین. شما میتونین راه حلهای نظارت خودتون رو تنظیم کنین، اما به همون اندازه میتونین به منابع موجود در دسترس عموم، مثل BGPMon و Oracle Dyn اعتماد کنین تا کارهای سنگین رو برای شما انجام بدن.
یک برنامه پاسخگویی به حوادث بسازین!
واکنش مناسب به سرقت BGP با طرح واکنش به حوادث آغاز میشه. متأسفانه، این اتفاق، حادثهای نیست که بتونین برای اون یه راه حل ساده یا کنترل امنیتی دفاعی تنظیم کنین. همچنین موردی نیست که بتونین به راحتی اون رو تشخیص بدین.
به این دلیل که حملات BGP در خارج از شبکه یک سازمان صورت میگیره، یک سرقت BGP که به خوبی انجام بشه، میتونه در ترافیک مداخله کنه؛ بدون این که کاربران شما متوجه بشن که اشتباهی رخ داده. این وسط شما شاید بتونین ISP خودتون رو متقاعد کنین که مسیر نادرست رو حذف کنه یا از اون درخواست کنین تا Peer های خودتون رو متقاعد کنه که این اعلامیهها رو کنار بذارن.
برای حملات سرقت BGP ، مراحل مهار، ریشه کنی و بازیابی طرح واکنش حادثه بهم متصل هستن. از اونجایی که اعلامیههای مسیر خیلی سریع پخش میشن، مهار کردن میتونه یه چالش واقعی باشه.
اگه نمیتونین منابع لازم رو برای تهیه یک طرح اختصاصی پاسخگویی به حوادث مهیا کنین، میتونین از قسمتهای برنامهای که برای مقابله با حملات DDoS بوده، دوباره استفاده کنین.
آماده باشین!
اکثر سازمانها ASN خاص خودشون رو ندارن و باید به اقدامات ارائه دهنده خدمات بالادستی اینترنت (ISP) خودشون اعتماد کنن. اما روشهایی برای تهیه اون وجود دارد:
- ببینید که سازمان شما از کدوم ارائه دهنده شبکه استفاده میکنه. آیا به یه ارائه دهنده شبکه متکی هست یا به چند تا؟ یه مدل رابطه AS میتونه در این مورد بینشی به شما بده.
- وقتی که ارائه دهندگان شبکه خودتون رو لیست کردین، با اونها تماس بگیرین و ازشون بپرسین که چه پاسخ یا اقدامات احتیاطی رو درباره امنیت BGP دارن، شما میتونین کار خودتون رو با درخواست یه نمای کلی در سطح بالایی از سیاست همسان سازی شروع کنید و این که چه توافق نامههایی برای حفاظت اونها انجام شده.
- کانالهای ارتباطی خوبی رو با ارائه دهندگان شبکه خودتون بسازین.
- کانالهای ارتباطی خارج از باند رو از طریق یه ارائه دهنده شبکه دیگه ایجاد کنین. از این کانالها برای اطلاع مشتریان خودتون در صورت حمله استفاده کنین. گزینههای احتمالی میتونن شبکههای اجتماعی یا یه صفحه ارتباطی باشن که در یک ارائه دهنده ابری میزبانی میشن (فیشینگ رو هم در نظر بگیرین).
اگه مالک ASN هستین، اقدامات اضافی دیگهای هم باید انجام بشه:
- سیاست همسان سازی خودتون رو یادداشت کنین و مطمئن بشین همه افراد سیاست اتصال BGP رو درک میکنن.
- BCP های مشابه BGP رو پیاده سازی کنین.
- بهترین شیوه هنجارهای توافق شده متقابل برای امنیت مسیریابی (Mutually Agreed Norms for Routing Security (MANRS رو مرور و پیاده سازی کنین.
- مسیر AS رو مشخص کنین. آگاه باشین که این کار میتونه به سرعت نتیجه معکوس بده؛ چون که هدف سیستم، طبیعتا یافتن خودکار بهترین مسیره. معرفی مسیرهای دستی سیستم رو ضعیف میکنه.
- برای پیشگیری از طغیان در اطلاعیهها، مقدار پیشوندهایی رو که میشه دریافت کرد محدود کنین.
- فیلتر کردن مسیر رو اجرا کنین.
- پیشوندهای IP رو که نباید در اینترنت مجاز باشن، فیلتر کنین.
- قبل از پذیرش اطلاعیهها از نوعی احراز هویت استفاده کنین.
- چکهای BGP برای زندگی (TTL) رو اجرا کنین و به روزرسانیهای مسیریابی که از شما دورتر هستن رو رد کنین.
- اگه میخواین برنامه خودتون رو عملی کنین، میتونین از یک ماشین مجازی (VM) با گزینه بارگیری + ۵۰۰k مسیر BGP استفاده کنین.
ابزارهای پاسخ خودکار رو در نظر بگیرین
یک عنصر اصلی در مبارزه با سرقت BGP ، شناسایی دقیق و سریع این سرقت هست که امکان کاهش انعطاف پذیری این وقایع و سرعت اتفاق افتادنشون رو در بر داره. این همون جاییه که سیستم خودکار و real-time dEtection و (MItigation System (ARTEMIS میتونه در آینده کمک کنه.
ARTEMIS، ارائه شده در یک مقاله تحقیقاتی توسط مرکز تجزیه و تحلیل داده های کاربردی اینترنت (CAIDA)، یه رویکرد شناسایی و کاهش یکپارچه و مبتنی بر نظارت روی صفحه کنترل است. اگرچه این رویکرد هنوز در دست توسعه است، اما پتانسیلی رو برای کمک به ارائه دهندگان شبکه در رفع این حملات نشون میده.
آخرین مرحله در پاسخ به حادثه مستلزم جمع آوری اطلاعات لازم برای به روزرسانی و بهبود برنامه شما، به ویژه برای مراحل آماده سازی و شناسایی است. بررسی کنین که آیا همه کانالهای ارتباطی مطابق انتظار کار میکنن یا خیر، مسیرهای تشدید، نتایج مورد انتظار رو ارائه میدن و به این ترتیب شما میتونین حمله رو به موقع تشخیص بدین.
همیشه یادتون باشه که بهترین برنامه پاسخگویی، پیشگیری است.
فرم و لیست دیدگاه
هنوز دیدگاهی وجود ندارد.