ภัยคุกคามของ BGP Routing

เมื่อวันที่ 12 ธันวาคมที่ผ่านมาได้เกิดการณ์ผิดปกติกับ BGP Routing (โปรโตคอลที่ Router node ใช้สื่อสารกันคล้ายกับ OSPF, Eigrp และอื่นๆ เป็นต้น) ซึ่งจากรายงานพบว่าเกิดเหตุการณ์เลือกเส้นทางไซต์ผิดพลาด โดยนักวิเคราะห์ตรวจข้อมูลที่ปรากฏพบว่ามันอาจจะมีอะไรมากกว่า BGP Leak ธรรมดาๆ 

credit : BGPStream

BGP ทำงานอย่างไร

ตาม RFC 1163 และ RFC 1267 นิยามว่า BGP เป็นโปรโตคอลอินเทอร์เน็ตที่อนุญาตสามารถดำเนินการในระบบเครือข่ายได้อย่างอิสระ โดยมี Autonomous System (AS) เพื่อใช้ประกาศจุดที่สามารถเข้าถึงกันได้ ซึ่งเร้าเตอร์ BGP จะประกาศข้อมูล IP Prefix (IP หรือ วง IP ที่มีและอนุญาตให้เข้าถึงได้) ไปยังเพื่อนบ้าน ส่วนฝ่ายที่ได้รับข้อมูลจะทำการเปรียบเทียบข้อมูลเส้นทางที่เก็บอยู่ หากพบข้อมูลใหม่ที่ได้รับประกาศมาและทำให้มีเส้นทางที่ดีกว่าเดิมไปยังเครือข่ายได้อย่างแน่นอน มันจะอัปเดตข้อมูลของตนพร้อมกับประกาศข้อมูลของตนไปยังเพื่อนบ้านทันที อย่างไรก็ตามพบว่ามี AS เกิดขึ้นมาใหม่และหายไปได้ทุกวัน เนื่องจากการออกแบบตั้งอยู่บนพื้นฐานของความเชื่อถือกัน สารประกาศที่ออกไปอาจจะถูกรับโดยเร้าเตอร์ตัวใดก็ได้ ดังนั้นมันจะไม่มีการตรวจสอบถึงต้นฉบับหรือความสมบูรณ์ของสารประกาศนั้นอีกทั้งสารประกาศมันมักจะไม่มีการเข้ารหัสอีกด้วย

เกิดความผิดพลาดกับ BGP อย่างไรได้บ้าง

มี 3 ทางที่ผู้โจมตีสามารถใช้ BGP ในทางที่มิชอบคือ
  • BGP Route Manipulation คือ มีอุปกรณ์ที่ไม่ดีไปแก้ไขข้อมูลในตารางของ BGP เพื่อกันไม่ให้ทราฟฟิคไปสู่ปลายทางที่ตั้งใจได้
  • BGP Route Hijacking คือ มีอุปกรณ์ที่ไม่ดีประกาศ Prefixes ของเหยื่อเพื่อเปลี่ยนเส้นทางของทราฟฟิคหรือให้ทราฟฟิคผ่านมาทางตนเอง การเปลี่ยนเส้นทางทราฟฟิคเช่นนี้อาจจะทำให้เกิดความไม่สเถียรในบางเครือข่ายเพราะมีข้อมูลเพิ่มมากขึ้นแบบฉับพลัน ดังนั้นอาจจะนำไปสู่การเปิดทางให้ผู้โจมตีเข้าถึงข้อมูลที่ไม่ถูกเข้ารหัสหรือให้ข้อมูลไม่สามารถเข้าถึงได้ นอกจากนี้อาจจะใช้เป็น Spam รวมถึงใช้ลัดผ่าน Blacklist IP
  • BGP Denial-of-Service คือ มีอุปกรณ์ไม่ดีส่งทราฟฟิค BGP ที่ไม่ปกติไปหาเหยื่อ เพื่อทำให้ระบบของเหยื่อไม่สามารถประมวลผลทราฟฟิค BGP ได้

อย่างไรก็ตามมีเหตุการณ์ BGP เกิดผิดพลาดโดยไม่ได้ตั้งใจด้วย เช่น BGP Route Leak  ที่เกิดจากการตั้งค่าผิดพลาดทำให้กลายเป็นช่องโหว่และความไม่สเถียรในอินเตอร์เน็ตได้

เหตุการณ์ที่เกิดขึ้นจริงเป็นอย่างไร

ในปี 2017 จากข้อมูลของ BGPStream (เว็บไซต์ที่ติดตามสถานะของเครือข่าย BGP ทั่วโลก) พบตัวอย่างเช่น
  • พฤจิกายน มีผู้ให้บริการระดับ 3 ตั้งค่า BGP ผิดพลาดทำให้เกิด BGP Leak ไปยังภายนอก
  • ตุลาคม บริการของ Twitter และ Google ในบราซิลไม่สามารถเข้าถึงได้เนื่องจากเกิด BGP Leak
  • สิงหาคม ประเทศญี่ปุ่นอินเตอร์เน็ตใช้งานไม่ได้เนื่องจากเกิดการประกาศ BGP ผิดพลาด
  • เมษายน มีเหตุการณ์ที่เป็นไปได้ที่อาจจะเกิดการ Hijack เพื่อเปลี่ยนเส้นทางทราฟฟิคเครือข่ายเกี่ยวกับการเงิน

วิธีการบรรเทาภัยที่เกิดขึ้นทำได้อย่างไร

มีการผนึกกำลังกันระหว่าง Internet Engineering Task Force (IETF) , National Institute of Standards and Technology (NIST) และ Department of Homeland Security (DHS) เพื่อพัฒนามาตรฐานของ BGP ให้มีความมั่นคงปลอดภัยมากยิ่งขึ้น จนเกิดเป็น Framework ที่ชื่อว่า Secure Inter-Domain Routing (SIDR) ซึ่งมีองค์ประกอบ 3 อย่างคือ Resource Public Key Infrastuture (RPKI), BGP Origin Validation และ BGP Path Validation (BGPSec) อย่างไรก็ตามองค์กรที่มองหาโซลูชันเพื่อแก้ปัญหาดังกล่าวสามารถใช้ BGPSec เพื่อเพิ่มความมั่นคงปลอดภัยได้และหากนำไปใช้ร่วมกับการตรวจสอบที่มา (Origin Validation) มันก็อาจจะช่วยป้องกันการ Hijacking ได้ แต่ก็มีข้อเสียคือความซับซ้อนในการอัปเดตเส้นทาง BGPSec อาจจะทำให้ฮาร์ดแวร์ต้องประมวลผลสูงขึ้น นอกจากนี้ BGPSec มีการใช้งานคำสั่งมากมายจึงเกิดการสร้างลิสต์ Secure BGP Template เพื่อช่วยองค์กรใช้งาน BGP ได้อย่างมั่งคงปลอดภัย

ที่มา : https://securityintelligence.com/bgp-internet-routing-what-are-the-threats

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

เจาะลึกเครื่องมือการโจมตีแบบร้ายแรง Web DDoS “MegaMedusa” โดยกลุ่มก่อการร้ายทางโลกไซเบอร์ “RipperSec”

RipperSec เป็นกลุ่มนักเคลื่อนไหวจากมาเลเซียหรือที่ถูกจัดประเภทว่าเป็นแฮ็กเกอร์ประเภท Hacktivism ทั้งนี้มีแรงจูงใจมาจากความขัดแย้งระหว่างอิสลาเอลและชาติมุสลิม โดยคนร้ายมีการใช้เครื่องมือเพื่อทำ We DDoS ที่ชื่อว่า MegaMedusa โดยในบทความนี้ Radware จะชวนทุกท่านมาติดตามการดำเนินงานและกลยุทธ์ของเครื่องมือดังกล่าว โดยมีหัวข้อที่น่าสนใจดังนี้

GitLab แก้ไขช่องโหว่ความรุนแรงสูงในการยืนยันตัวตนแบบ SAML

GitLab ออกอัปเดตความปลอดภัยแก้ไขช่องโหว่ความรุนแรงสูงในการยืนยันตัวตนแบบ SAML ที่ส่งผลกระทบต่อ GitLab Community Edition (CE) และ Enterprise Edition (EE) แบบ self-managed