ИССЛЕДОВАНИЕ ПРОБЛЕМ БЕЗОПАСНОСТИ ПРОТОКОЛОВ ДИНАМИЧЕСКОЙ МАРШРУТИЗАЦИИ ГРАНИЧНОГО ШЛЮЗА

При современном уровне размеров интернета поддерживать вручную таблицы маршрутизации в актуальном состоянии в крупной и часто изменяющейся сети очень сложно. Для автоматизации этого процесса еще начиная с 1980-х годов были разработаны протоколы динамической маршрутизации -- средство, позволяющее маршрутизаторам самостоятельно получать информацию об имеющихся сетях и на основе нее строить свои таблицы маршрутизации.

Однако, протоколы динамической маршрутизации, используемые на данный момент, и обеспечивающие связность всей сети интернет, были разработаны еще в прошлом веке, и в основном не изменялись. Это безусловно связано с поддержкой обратной совместимости, и значительными размерами глобальной сети. Однако, обнаруженные проблемы безопасности, ежегодно приводят к нарушениям работоспособности всей сети. Данные проблемы не принимались во внимание во время разработки протоколов, из-за малых размеров сети интернет.

EGP-протоколы используются для передачи информации между автономными системами (AS). На текущий момент представитель этого класса протоколов один: BGP. Хотя, чаще всего, BGP используется для передачи маршрутов между разными AS, он может также использоваться и внутри корпоративной сети.

Из-за своего значительного возраста протокол BGP испытывает многочисленные проблемы безопасности, связанные с конфиденциальностью, целостностью, доступностью, среди которых: внутренняя масштабируемость, стабильность, рост таблицы маршрутов, балансировка нагрузки, подмена маршрутов.

По дизайну маршрутизаторы, работающие под управлением BGP, принимают по умолчанию анонсируемые маршруты от других маршрутизаторов BGP. Это позволяет автоматизировать и децентрализовать маршрутизацию трафика через Интернет, но это также делает Интернет потенциально уязвимым для случайных или вредоносных сбоев. В связи с тем, насколько BGP встроен в основные системы Интернета, а также из-за количества различных сетей, которыми управляют многие различные организации, которые в совокупности составляют Интернет, исправление этой уязвимости (например, путем использования криптографических ключей для идентификации BGP-маршрутизаторов) является технически и экономически сложной проблемой.

Ранее перехватывать интернет-трафик, используя уязвимость BGP, были способны только разведывательные агентства. Они знали о недостатках протокола с 1998 года, с тех пор как эксперт по безопасности Пейтер Затко (Peiter Zatko) рассказал о ней Конгрессу США и предположил, что может за полчаса нарушить работу всего Интернета, используя обнаруженную уязвимость. Вероятно, но не факт конечно, что спецслужбы разных стран грешат этим и по сей день, в случае, если нужно перехватить трафик абонентов некоторых автономных систем, к которым у них нету физического доступа, находящихся в неподконтрольных или оффшорных юрисдикциях, сотрудничество с правоохранительными органами которых, затруднительно [1].

В BGP нет эффективных механизмов проверки того, какие маршруты могут проходить через данную автономную систему. Глобальная таблица заполняется на основе так называемых анонсов, которые выдают пограничные маршрутизаторы, если маршрутизатор анонсирует “чужой” маршрут, то, часто, обнаружить это удаётся только после того, как трафик уже утёк. (Англоязычное название явления: Internet route hijacking.) Очевидно, что трафик, следующий по перехваченному маршруту, может прослушиваться в транзитной автономной системе – для чего и делается перехват. При этом существуют методы, позволяющие скрыть следы такого перенаправления.

Противодействуют перехвату маршрутов с помощью различных фильтров, вводимых в точках обмена трафиком. Это не слишком эффективный способ.

Проблема подмены маршрутов BGP является наиболее актуальной из всех проблем данного протокола, т.к. именно из-за нее ежегодно возникают десятки (сотни) инцидентов безопасности.

Текущий стандарт BGP версии 4 был принят в 1994 году. За прошедшее время были разработаны и представлены различные варианты улучшений протокола BGP, призванные повысить безопасность, и, возможно, стать новой версией протокола, однако, протокол версии 4 действует до сих пор. Среди возможных улучшений протокола выделяется S-BGP, который предлагается в качестве пятой версии протокола BGP. Также, в сентябре 2018 была представлена первая черновая версия протокола BGP ROV.

Так как протокол S-BGP на текущий момент является единственным законченным протоколом, предложенным в качестве новой версии BGP (BGP ROV находится в активной разработке), то дальнейшие исследования будут сосредоточены на нем.

Для исследования протоколов динамической маршрутизации граничного шлюза применялся пакет NS-3 -- Network Simulator 3.

NS-3 -- симулятор дискретных событий в сетях на базе TCP/IP с открытым исходным кодом, предназначенный для исследовательских и образовательных целей. NS-3 лицензирован под GNU GPLv2 и находится в открытом доступе для использования, исследований и улучшений [2].

BGP является протоколом прикладного уровня, работающим на 179 порту по протоколу TCP [5].

Заголовок сообщения BGP версии 4 представлен на рисунке 1, и состоит из:

- маркера, необходимого для обеспечения обратной совместимости;

- длины сообщения;

- типа сообщения.

Рисунок 1. Структура заголовка сообщения BGP

В протоколе BGP существует 5 типов сообщений:

- Open -- служит для открытия соединения;

- Update -- сообщения анонса маршрута, основной тип сообщений, используемых при работе BGP;

- Notification -- служит для оповещения об ошибках;

- KeepAlive -- служит для поддержания соединения, посылается раз в минуту;

- RouteRefresh -- опциональное сообщение для обновления информации о маршрутах у клиентов.

Для моделирования протокола BGP была построена модель со следующей топологией (рисунок 2):

- 5 автономных систем различных размеров;

- автономная система AS 100 связана с автономными системами AS 101 и AS 102 двумя каналами;

- автономная система AS 101 связана с автономной системой AS 100 двумя каналами, и с автономной системой AS 104 одним каналом;

- автономная система AS 102 связана с автономной системой AS 100 двумя каналами, и с автономной системой AS 103 одним каналом;

- автономная система AS 103 связана с автономными системами AS 102 и AS 104 одним каналом;

- автономная система AS 104 связана с автономними системами AS 101 и AS 103 одним каналом.

Также, для создания на граничные шлюзы дополнительной нагрузки, приближенной к реальной, каждая автономная система была заполнена дополнительными маршрутизаторами и подключенными к ним клиентами.

Рисунок 2. Топология модели

Для моделирования протокола BGP внутри среды NS-3 был использован пакет Quagga (форк GNU Zebra), использующийся для маршрутизации на устройствах на базе ОС Linux, Solaris, FreeBSD и NetBSD.

Время конвергенции и объем служебного трафика являются метриками, получаемыми напрямую из симуляции NS-3. Нагрузка на CPU может быть снята только опосредованно, путем замеров нагрузки на CPU всего процесса симуляции.

После серии из 1000 симуляций были получены следующие данные:

- среднее время конвергенции -- 53.48 сек;

- средний объем служебного трафика -- 11.2 Mб;

- средняя нагрузка на CPU -- 139.9 %.

Протокол S-BGP (Secure Border Gateway Protocol) использует PKI (Public Key Infrastructure) для валидации анонсируемых маршрутов посредством цифровой подписи.

Основное отличие S-BGP от BGP версии 4 с точки зрения сообщений заключается в расширенных атрибутах сообщения Update.

Для моделирования протокола S-BGP была использована топология сети из предыдущего пункта, т.к. основным интересом исследования являются отличия в метриках протоколов BGP и S-BGP при работе в схожих условиях.

Аналогично симуляции протокола BGP, для S-BGP была создана дополнительная, приближенная к реальности нагрузка на граничные шлюзы, путем использования дополнительных маршрутизаторов и подключенных к ним клиентов.

В результате серии из 1000 симуляций были получены следующие данные:

- среднее время конвергенции -- 98.6 сек;

- средний объем служебного трафика -- 60 Мб;

- средняя нагрузка на CPU -- 240.1 %.

Путем симуляционного моделирования и дальнейшего сравнения протоколов BGP и S-BGP было обнаружено, что в схожих условиях:

- среднее время конвергенции BGP почти вдвое меньше S-BGP;

- средний объем служебного трафика BGP в 4 раза меньше S-BGP;

- средняя нагрузка на CPU у BGP в полтора раза меньше S-BGP.

Однако, с учетом постепенного обновления мирового сетевого оборудования, и постоянного роста пропускной способности линий связи, единственным недостатком S-BGP по сравнению с BGP является возросшее время конвергенции, которым можно пренебречь из-за общего повышения безопасности и уменьшения длительности интервалов обслуживания.

Список литературы:

1. Security Lab by Positive Technologies [Электронный ресурс]. -- Режим доступа: https://www.securitylab.ru (дата обращения 20.12.2018).
2. NS-3 Network Simulator ns-3 Tutorial [Электронный ресурс]. -- Режим доступа: https://www.nsnam.org/docs/release/3.18/tutorial/ns-3-tutorial.pdf (дата обращения 20.12.2018).
3. Zheng Z. Practical Defenses Against BGP Prefix Hijacking [Электронный ресурс] / Z. Zheng // Purdue University. -- 2017. -- Режим доступа: https://web.eecs.umich.edu/~zmao/ Papers/conextDefendHijack07.pdf (дата обращения 20.12.2018).
4. Network Protocol Attacks on BGP and Potential Solutions [Электронный ресурс]. -- 2014. -- Режим доступа: http://mobilityfirst.winlab.rutgers.edu/documents/BGPsecurity.pdf (дата обращения 20.12.2018).
5. A Border Gateway Protocol 4 (BGP-4) [Электронный ресурс]. -- Режим доступа: https://tools.ietf.org/html/rfc4271 (дата обращения 20.12.2018).
6. BGP-4 Protocol Analysis [Электронный ресурс]. -- Режим доступа: https://tools.ietf.org/html/rfc4274 (дата обращения 20.12.2018).
7. Generic Threats to Routing Protocols [Электронный ресурс]. -- Режим доступа: https://tools.ietf.org/html/rfc4593 (дата обращения 20.12.2018).
8. Convery S. BGP Vulnerability Testing: Separating Fact from FUD v1.1 / S. Convery // Blackhat. -- 2013. -- Режим доступа: https://www.blackhat.com/presentations/bh-usa-03/bh-us-03-convery-franz-v3.pdf (дата обращения 20.12.2018).