เมื่อวันที่ 12 ธันวาคมที่ผ่านมาได้เกิดการณ์ผิดปกติกับ BGP Routing (โปรโตคอลที่ Router node ใช้สื่อสารกันคล้ายกับ OSPF, Eigrp และอื่นๆ เป็นต้น) ซึ่งจากรายงานพบว่าเกิดเหตุการณ์เลือกเส้นทางไซต์ผิดพลาด โดยนักวิเคราะห์ตรวจข้อมูลที่ปรากฏพบว่ามันอาจจะมีอะไรมากกว่า BGP Leak ธรรมดาๆ
BGP ทำงานอย่างไร
ตาม RFC 1163 และ RFC 1267 นิยามว่า BGP เป็นโปรโตคอลอินเทอร์เน็ตที่อนุญาตสามารถดำเนินการในระบบเครือข่ายได้อย่างอิสระ โดยมี Autonomous System (AS) เพื่อใช้ประกาศจุดที่สามารถเข้าถึงกันได้ ซึ่งเร้าเตอร์ BGP จะประกาศข้อมูล IP Prefix (IP หรือ วง IP ที่มีและอนุญาตให้เข้าถึงได้) ไปยังเพื่อนบ้าน ส่วนฝ่ายที่ได้รับข้อมูลจะทำการเปรียบเทียบข้อมูลเส้นทางที่เก็บอยู่ หากพบข้อมูลใหม่ที่ได้รับประกาศมาและทำให้มีเส้นทางที่ดีกว่าเดิมไปยังเครือข่ายได้อย่างแน่นอน มันจะอัปเดตข้อมูลของตนพร้อมกับประกาศข้อมูลของตนไปยังเพื่อนบ้านทันที อย่างไรก็ตามพบว่ามี AS เกิดขึ้นมาใหม่และหายไปได้ทุกวัน เนื่องจากการออกแบบตั้งอยู่บนพื้นฐานของความเชื่อถือกัน สารประกาศที่ออกไปอาจจะถูกรับโดยเร้าเตอร์ตัวใดก็ได้ ดังนั้นมันจะไม่มีการตรวจสอบถึงต้นฉบับหรือความสมบูรณ์ของสารประกาศนั้นอีกทั้งสารประกาศมันมักจะไม่มีการเข้ารหัสอีกด้วย
เกิดความผิดพลาดกับ BGP อย่างไรได้บ้าง
- BGP Route Manipulation คือ มีอุปกรณ์ที่ไม่ดีไปแก้ไขข้อมูลในตารางของ BGP เพื่อกันไม่ให้ทราฟฟิคไปสู่ปลายทางที่ตั้งใจได้
- BGP Route Hijacking คือ มีอุปกรณ์ที่ไม่ดีประกาศ Prefixes ของเหยื่อเพื่อเปลี่ยนเส้นทางของทราฟฟิคหรือให้ทราฟฟิคผ่านมาทางตนเอง การเปลี่ยนเส้นทางทราฟฟิคเช่นนี้อาจจะทำให้เกิดความไม่สเถียรในบางเครือข่ายเพราะมีข้อมูลเพิ่มมากขึ้นแบบฉับพลัน ดังนั้นอาจจะนำไปสู่การเปิดทางให้ผู้โจมตีเข้าถึงข้อมูลที่ไม่ถูกเข้ารหัสหรือให้ข้อมูลไม่สามารถเข้าถึงได้ นอกจากนี้อาจจะใช้เป็น Spam รวมถึงใช้ลัดผ่าน Blacklist IP
- BGP Denial-of-Service คือ มีอุปกรณ์ไม่ดีส่งทราฟฟิค BGP ที่ไม่ปกติไปหาเหยื่อ เพื่อทำให้ระบบของเหยื่อไม่สามารถประมวลผลทราฟฟิค BGP ได้
อย่างไรก็ตามมีเหตุการณ์ BGP เกิดผิดพลาดโดยไม่ได้ตั้งใจด้วย เช่น BGP Route Leak ที่เกิดจากการตั้งค่าผิดพลาดทำให้กลายเป็นช่องโหว่และความไม่สเถียรในอินเตอร์เน็ตได้
เหตุการณ์ที่เกิดขึ้นจริงเป็นอย่างไร
- พฤจิกายน มีผู้ให้บริการระดับ 3 ตั้งค่า BGP ผิดพลาดทำให้เกิด BGP Leak ไปยังภายนอก
- ตุลาคม บริการของ Twitter และ Google ในบราซิลไม่สามารถเข้าถึงได้เนื่องจากเกิด BGP Leak
- สิงหาคม ประเทศญี่ปุ่นอินเตอร์เน็ตใช้งานไม่ได้เนื่องจากเกิดการประกาศ BGP ผิดพลาด
- เมษายน มีเหตุการณ์ที่เป็นไปได้ที่อาจจะเกิดการ Hijack เพื่อเปลี่ยนเส้นทางทราฟฟิคเครือข่ายเกี่ยวกับการเงิน
วิธีการบรรเทาภัยที่เกิดขึ้นทำได้อย่างไร
มีการผนึกกำลังกันระหว่าง Internet Engineering Task Force (IETF) , National Institute of Standards and Technology (NIST) และ Department of Homeland Security (DHS) เพื่อพัฒนามาตรฐานของ BGP ให้มีความมั่นคงปลอดภัยมากยิ่งขึ้น จนเกิดเป็น Framework ที่ชื่อว่า Secure Inter-Domain Routing (SIDR) ซึ่งมีองค์ประกอบ 3 อย่างคือ Resource Public Key Infrastuture (RPKI), BGP Origin Validation และ BGP Path Validation (BGPSec) อย่างไรก็ตามองค์กรที่มองหาโซลูชันเพื่อแก้ปัญหาดังกล่าวสามารถใช้ BGPSec เพื่อเพิ่มความมั่นคงปลอดภัยได้และหากนำไปใช้ร่วมกับการตรวจสอบที่มา (Origin Validation) มันก็อาจจะช่วยป้องกันการ Hijacking ได้ แต่ก็มีข้อเสียคือความซับซ้อนในการอัปเดตเส้นทาง BGPSec อาจจะทำให้ฮาร์ดแวร์ต้องประมวลผลสูงขึ้น นอกจากนี้ BGPSec มีการใช้งานคำสั่งมากมายจึงเกิดการสร้างลิสต์ Secure BGP Template เพื่อช่วยองค์กรใช้งาน BGP ได้อย่างมั่งคงปลอดภัย
ที่มา : https://securityintelligence.com/bgp-internet-routing-what-are-the-threats