Z Warszawy do Łodzi przez – hmmm – Rzeszów? W prawdziwym życiu takie „przekierowanie ruchu” zdarzyć się nie powinno. W sieci znane są jednak przypadki, gdy ruch między dwoma sieciami „zapodział” się w trzeciej. Czasem przypadkiem, a nierzadko specjalnie. Czy to w ramach cenzury, czy jako droga do kradzieży danych, czy kryptowalut. O co w tym wszystkim chodzi? I dlaczego po 5.12 w przypadku sieci Orange Polska taki numer się nie uda?
Dziś będzie nieco bardziej technicznie, acz mam nadzieję, że niezmiennie ciekawie :) Wiedza sieciowa to dla mnie w sporej części czarna magia, ale mam nadzieję, że uda mi się Wam co nieco wyjaśnić. Zacznijmy od internetu. Internet to zbiór wielu, rozproszonych po całym świecie sieci. Myślę, że z tego wszyscy zdajemy sobie sprawę. By mogły się ze sobą komunikować, „krzyczą” do siebie, niczym sąsiedzi na osiedlu domków jednorodzinnych, informując jakie adresy należą do danej sieci. Technicznie nazywa się to rozgłaszaniem prefiksów.
W efekcie, gdy wchodzicie na stronę bloga, Wasza sieć wie, że adres IP 34.116.153.160 mieści się w chmurze Google. I to tam najkrótszą drogą przesyła dane. Każdy operator, który rozgłasza swoje prefiksy, powinien zgłosić je do regionalnego rejestratora (w Europie rolę tę pełni RIPE NCC). Rejestrator tworzy bazę danych przypisanych do konkretnych właścicieli adresów IP oraz ASN. Pomaga to uporządkować ruch w globalnej sieci. Odpowiada za to protokół BGP a jego (nie)przypadkowe nadużycie określamy mianem BGP Hijacking.
Czy można ukraść czyjąś... sieć?
Co się jednak stanie, gdy ktoś rozgłosi nie swoje prefiksy? Może wtedy uniemożliwić dostęp do niektórych serwisów ze strefy numeracyjnej swojego kraju, ułatwić sobie kradzież kryptowalut, czy też np. podsłuchać ściśle tajne treści mające trafić do amerykańskich trzyliterowych agencji. Zgłaszając swoje prefiksy do RIPE de facto je zastrzegamy. Przekazujemy informację "internetowi", że jesteśmy ich właścicielami tych adresów. W efekcie ruch przekazywany jest do odpowiednich elementów infrastruktury sieciowej. Zastrzeżenie własnych adresów IP jest istotne m.in. właśnie ze względu na BGP Hijacking. Polega on na podszyciu się pod nasz prefiks i przekierowaniu ruchu kierowanego do nas - do obcej sieci. BGP Hijacking to atak trudny do wykrycia. Często bowiem, gdy ruch wychodzący przebiega prawidłowo, dopiero ruch powrotny przechodzi przez serwery szpiegujące.
BGP buduje i utrzymuje internetową tablicę routingu, jednak sam nie jest w stanie zweryfikować informacji o routingu. Dlatego możliwe jest podszycie się pod posiadacza danego prefiksu. Choć niebawem w naszym przypadku to pojęcie będzie wyłącznie teoretyczne!
BGP Hijacking? Nie w Orange Polska!
By zapobiec problemom, jeszcze w 2021 roku, zespół działający w ramach programu Network Resilience Analysis zidentyfikował wszystkie zasoby Orange w publicznym internecie. Dla każdego z tych adresów IP (zarówno IPv4 jak i IPv6) wygenerowane zostały podpisy przypisujące je jedynie do naszej sieci. Zostało to poświadczone certyfikatem kryptograficznym X.509 przez RIPE NCC, zapewniając integralność i niepodważalność.
Z dniem 5 grudnia aktywujemy natomiast walidację i filtrowanie RPKI na każdej sesji peeringowej BGP z sieciami AS5617 (TPNET), AS29535 (Internet.optimum) oraz AS21395 (Content Premium). To zapewni poprawną walidację tras BGP, ogłaszanych przez sieci tworzące internet. Architektura RPKI pozwala wymieniać informacje z routerami i porównywać czy otrzymane ogłoszenie prefiksu BGP pochodzi z sieci/routera prawowitego właściciela. Jeśli walidacja zakończy się negatywnie, router odrzuci prefiks BGP, nie pozwalając wykorzystać go osobie/jednostce/sieci nieuprawnionej.
Co to oznacza?
Dla Was, jako zwykłych użytkowników, „na wierzchu” nic się nie zmieni. Jeśli nie przeczytalibyście tego, to nawet byście nie wiedzieli, że źli ludzie nie będą już mogli „porwać” Waszego ruchu sieciowego.
Sprawa zmienia się nieco jeśli jesteście administratorami większej sieci. Wtedy warto sprawdzić poprawność jej ustawień, szczególnie w zakresie spójności już dokonanych podpisów RPKI z informacjami rozgłaszanymi w protokole BGP. Odrzucenie przez naszą sieć niepoprawnie podpisanego prefiksu może zmienić przepływ ruchu na łączach, a w skrajnych przypadkach nawet spowodować zablokowanie dostępu do sieci.
Ale kluczowe jest jedno – będzie bezpieczniej. A czyż nie o to nam wszystkim właśnie chodzi?
Grafika użyta w tekście została stworzona przez sztuczną inteligencję w ramach projektu Dall-E (https://labs.openai.com/)