Segrest de BGP

El segrest de BGP (de vegades conegut com a segrest de prefix, segrest de ruta o segrest d'IP) és l'adquisició il·legítima de grups d'adreces IP en corrompre les taules d'encaminament d'Internet mantingudes mitjançant el protocol de passarel·la de frontera (BGP).^[1]^[2]^[3]

Rerefons[modifica]

Internet és una xarxa global que permet a qualsevol host connectat, identificat per la seva adreça IP única, parlar amb qualsevol altre, a qualsevol lloc del món. Això s'aconsegueix passant dades d'un encaminador a un altre, movent repetidament cada paquet més a prop del seu destí, fins que s'espera que s'entregui. Per fer-ho, cada router s'ha de subministrar regularment amb taules d'encaminament actualitzades. A nivell global, les adreces IP individuals s'agrupen en prefixos. Aquests prefixos seran originats o propietat d'un sistema autònom (AS) i les taules d'encaminament entre AS es mantenen mitjançant el Border Gateway Protocol (BGP).

Un grup de xarxes que opera sota una única política d'encaminament extern es coneix com a sistema autònom. Per exemple, Sprint, Verizon i AT&T són cadascun AS. Cada AS té el seu propi número d'identificació AS únic. BGP és el protocol d'encaminament estàndard utilitzat per intercanviar informació sobre l'encaminament IP entre sistemes autònoms.

Cada AS utilitza BGP per anunciar prefixos als quals pot enviar trànsit. Per exemple, si el prefix 192.0.2.0 xarxa 192.0.2.0/24 es troba dins de l'AS 64496, aquest AS anunciarà als seus proveïdors i/o iguals que pot lliurar qualsevol trànsit 192.0.2.0 a 192.0.2.0/24.

Tot i que hi ha extensions de seguretat disponibles per a BGP i hi ha recursos de base de dades de ruta de tercers per validar rutes, per defecte el protocol BGP està dissenyat per confiar en tots els anuncis de ruta enviats pels companys i pocs ISP imposen comprovacions rigoroses a les sessions BGP.

Mecanisme[modifica]

El segrest d'IP es pot produir de manera deliberada o accidental de diverses maneres:

Un AS anuncia que origina un prefix que en realitat no s'origina.
Un AS anuncia un prefix més específic que el que pot anunciar el veritable AS originari.
Un AS anuncia que pot encaminar el trànsit a l'AS segrestat per una ruta més curta de la que ja està disponible, independentment de si la ruta existeix o no.

Comú a aquestes maneres és la interrupció de l'encaminament normal de la xarxa: els paquets s'acaben reenviant cap a la part equivocada de la xarxa i després entren en un bucle sense fi (i es descarten), o es troben a mercè de l'AS ofensiu.

Problemes de segrest de BGP i trànsit-AS[modifica]

Igual que l'atac de restabliment de TCP, el segrest de sessió implica una intrusió en una sessió BGP en curs, és a dir, l'atacant es fa passar amb èxit com un dels iguals d'una sessió BGP i requereix la mateixa informació necessària per dur a terme l'atac de restabliment. La diferència és que un atac de segrest de sessió es pot dissenyar per aconseguir més que simplement fer caure una sessió entre iguals BGP. Per exemple, l'objectiu pot ser canviar les rutes utilitzades pel pare, per tal de facilitar l'escolta, el forat negre o l'anàlisi del trànsit.

El concepte de segrest de BGP gira al voltant de la localització d'un ISP que no està filtrant anuncis (intencionadament o d'una altra manera) o localitzar un ISP la sessió BGP interna o d'ISP a ISP és susceptible a un atac d'home-in-the-middle. Un cop localitzat, un atacant pot anunciar qualsevol prefix que vulgui, provocant que part o tot el trànsit es desviï de la font real cap a l'atacant. Això es pot fer per sobrecarregar l'ISP en el qual s'ha infiltrat l'atacant, o bé per dur a terme un atac de DoS o suplantació d'identitat a l'entitat el prefix de la qual s'està anunciant. No és estrany que un atacant provoqui interrupcions greus, fins i tot una pèrdua total de connectivitat. A principis de 2008, almenys vuit universitats nord-americanes van tenir el seu trànsit desviat cap a Indonèsia durant uns 90 minuts un matí en un atac que els implicats van mantenir en silenci. A més, el febrer de 2008, una gran part de l'espai d'adreces de YouTube es va redirigir al Pakistan quan la PTA va decidir bloquejar l'accés ^[4] al lloc des de l'interior del país, però accidentalment va ocultar la ruta a la taula global de BGP.

Referències[modifica]

↑ Zhang, Zheng. «Practical Defenses Against BGP Prefix Hijacking» (en anglès). University of Michigan. [Consulta: 24 abril 2018].
↑ Gavrichenkov, Artyom. «Breaking HTTPS with BGP Hijacking» (en anglès). Black Hat. [Consulta: 24 abril 2018].
↑ Birge-Lee, Henry. «Using BGP to Acquire Bogus TLS Certificates» (en anglès). Princeton University. [Consulta: 24 abril 2018].
↑ «Technology | Pakistan lifts the ban on YouTube» (en anglès). BBC News, 26-02-2008. [Consulta: 7 novembre 2016].

[1] Zhang, Zheng. «Practical Defenses Against BGP Prefix Hijacking» (en anglès). University of Michigan. [Consulta: 24 abril 2018].

[2] Gavrichenkov, Artyom. «Breaking HTTPS with BGP Hijacking» (en anglès). Black Hat. [Consulta: 24 abril 2018].

[3] Birge-Lee, Henry. «Using BGP to Acquire Bogus TLS Certificates» (en anglès). Princeton University. [Consulta: 24 abril 2018].

[4] «Technology | Pakistan lifts the ban on YouTube» (en anglès). BBC News, 26-02-2008. [Consulta: 7 novembre 2016].

[1]

[2]

[3]

[4]