ภัยคุกคามของ BGP Routing

เมื่อวันที่ 12 ธันวาคมที่ผ่านมาได้เกิดการณ์ผิดปกติกับ BGP Routing (โปรโตคอลที่ Router node ใช้สื่อสารกันคล้ายกับ OSPF, Eigrp และอื่นๆ เป็นต้น) ซึ่งจากรายงานพบว่าเกิดเหตุการณ์เลือกเส้นทางไซต์ผิดพลาด โดยนักวิเคราะห์ตรวจข้อมูลที่ปรากฏพบว่ามันอาจจะมีอะไรมากกว่า BGP Leak ธรรมดาๆ 

credit : BGPStream

BGP ทำงานอย่างไร

ตาม RFC 1163 และ RFC 1267 นิยามว่า BGP เป็นโปรโตคอลอินเทอร์เน็ตที่อนุญาตสามารถดำเนินการในระบบเครือข่ายได้อย่างอิสระ โดยมี Autonomous System (AS) เพื่อใช้ประกาศจุดที่สามารถเข้าถึงกันได้ ซึ่งเร้าเตอร์ BGP จะประกาศข้อมูล IP Prefix (IP หรือ วง IP ที่มีและอนุญาตให้เข้าถึงได้) ไปยังเพื่อนบ้าน ส่วนฝ่ายที่ได้รับข้อมูลจะทำการเปรียบเทียบข้อมูลเส้นทางที่เก็บอยู่ หากพบข้อมูลใหม่ที่ได้รับประกาศมาและทำให้มีเส้นทางที่ดีกว่าเดิมไปยังเครือข่ายได้อย่างแน่นอน มันจะอัปเดตข้อมูลของตนพร้อมกับประกาศข้อมูลของตนไปยังเพื่อนบ้านทันที อย่างไรก็ตามพบว่ามี AS เกิดขึ้นมาใหม่และหายไปได้ทุกวัน เนื่องจากการออกแบบตั้งอยู่บนพื้นฐานของความเชื่อถือกัน สารประกาศที่ออกไปอาจจะถูกรับโดยเร้าเตอร์ตัวใดก็ได้ ดังนั้นมันจะไม่มีการตรวจสอบถึงต้นฉบับหรือความสมบูรณ์ของสารประกาศนั้นอีกทั้งสารประกาศมันมักจะไม่มีการเข้ารหัสอีกด้วย

เกิดความผิดพลาดกับ BGP อย่างไรได้บ้าง

มี 3 ทางที่ผู้โจมตีสามารถใช้ BGP ในทางที่มิชอบคือ
  • BGP Route Manipulation คือ มีอุปกรณ์ที่ไม่ดีไปแก้ไขข้อมูลในตารางของ BGP เพื่อกันไม่ให้ทราฟฟิคไปสู่ปลายทางที่ตั้งใจได้
  • BGP Route Hijacking คือ มีอุปกรณ์ที่ไม่ดีประกาศ Prefixes ของเหยื่อเพื่อเปลี่ยนเส้นทางของทราฟฟิคหรือให้ทราฟฟิคผ่านมาทางตนเอง การเปลี่ยนเส้นทางทราฟฟิคเช่นนี้อาจจะทำให้เกิดความไม่สเถียรในบางเครือข่ายเพราะมีข้อมูลเพิ่มมากขึ้นแบบฉับพลัน ดังนั้นอาจจะนำไปสู่การเปิดทางให้ผู้โจมตีเข้าถึงข้อมูลที่ไม่ถูกเข้ารหัสหรือให้ข้อมูลไม่สามารถเข้าถึงได้ นอกจากนี้อาจจะใช้เป็น Spam รวมถึงใช้ลัดผ่าน Blacklist IP
  • BGP Denial-of-Service คือ มีอุปกรณ์ไม่ดีส่งทราฟฟิค BGP ที่ไม่ปกติไปหาเหยื่อ เพื่อทำให้ระบบของเหยื่อไม่สามารถประมวลผลทราฟฟิค BGP ได้

อย่างไรก็ตามมีเหตุการณ์ BGP เกิดผิดพลาดโดยไม่ได้ตั้งใจด้วย เช่น BGP Route Leak  ที่เกิดจากการตั้งค่าผิดพลาดทำให้กลายเป็นช่องโหว่และความไม่สเถียรในอินเตอร์เน็ตได้

เหตุการณ์ที่เกิดขึ้นจริงเป็นอย่างไร

ในปี 2017 จากข้อมูลของ BGPStream (เว็บไซต์ที่ติดตามสถานะของเครือข่าย BGP ทั่วโลก) พบตัวอย่างเช่น
  • พฤจิกายน มีผู้ให้บริการระดับ 3 ตั้งค่า BGP ผิดพลาดทำให้เกิด BGP Leak ไปยังภายนอก
  • ตุลาคม บริการของ Twitter และ Google ในบราซิลไม่สามารถเข้าถึงได้เนื่องจากเกิด BGP Leak
  • สิงหาคม ประเทศญี่ปุ่นอินเตอร์เน็ตใช้งานไม่ได้เนื่องจากเกิดการประกาศ BGP ผิดพลาด
  • เมษายน มีเหตุการณ์ที่เป็นไปได้ที่อาจจะเกิดการ Hijack เพื่อเปลี่ยนเส้นทางทราฟฟิคเครือข่ายเกี่ยวกับการเงิน

วิธีการบรรเทาภัยที่เกิดขึ้นทำได้อย่างไร

มีการผนึกกำลังกันระหว่าง Internet Engineering Task Force (IETF) , National Institute of Standards and Technology (NIST) และ Department of Homeland Security (DHS) เพื่อพัฒนามาตรฐานของ BGP ให้มีความมั่นคงปลอดภัยมากยิ่งขึ้น จนเกิดเป็น Framework ที่ชื่อว่า Secure Inter-Domain Routing (SIDR) ซึ่งมีองค์ประกอบ 3 อย่างคือ Resource Public Key Infrastuture (RPKI), BGP Origin Validation และ BGP Path Validation (BGPSec) อย่างไรก็ตามองค์กรที่มองหาโซลูชันเพื่อแก้ปัญหาดังกล่าวสามารถใช้ BGPSec เพื่อเพิ่มความมั่นคงปลอดภัยได้และหากนำไปใช้ร่วมกับการตรวจสอบที่มา (Origin Validation) มันก็อาจจะช่วยป้องกันการ Hijacking ได้ แต่ก็มีข้อเสียคือความซับซ้อนในการอัปเดตเส้นทาง BGPSec อาจจะทำให้ฮาร์ดแวร์ต้องประมวลผลสูงขึ้น นอกจากนี้ BGPSec มีการใช้งานคำสั่งมากมายจึงเกิดการสร้างลิสต์ Secure BGP Template เพื่อช่วยองค์กรใช้งาน BGP ได้อย่างมั่งคงปลอดภัย

ที่มา : https://securityintelligence.com/bgp-internet-routing-what-are-the-threats



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

US-CERT เตือนระวัง TYPEFRAME Malware จากเกาหลีเหนือ เน้นโจมตีระบบของ Microsoft เป็นหลัก

US-CERT ได้ออกมาเตือนถึงแคมเปญการโจมตีด้วย Trojan Malware ที่มีชื่อว่า TYPEFRAME จากเกาหลีเหนือ โดยตั้งชื่อแคมเปญครั้งนี้ว่า HIDDEN COBRA

เปิดตัว Palo Alto Networks Traps for Android ตรวจจับ Malware บน Android โดยเฉพาะ

Palo Alto Networks ได้ออกมาประกาศเปิดตัว Traps for Android เทคโนโลยีสำหรับตรวจจับ Malware บนอุปกรณ์ Smartphone และ Tablet ที่ใช้ระบบปฏิบัติการ Android …