Утечки маршрутов и угон BGP-сесии стали доступнее на сети Ростелеком
В прошедшем году году в течение 5-7 минут через Ростелеком были перенаправлены сети крупнейших банков и финансовых сервисов, включая Visa и MasterCard
Судя по всему источником проблемы послужили работы, связанные с управлением трафиком, например, утечка маршрутов могла возникнуть при организации внутреннего мониторинга, приоритизации или зеркалирования проходящего через Ростелеком трафика определённых сервисов и CDN (в связи с ростом нагрузки на сеть из-за массовой работы на дому в конце марта обсуждался вопрос понижения приоритета для трафика зарубежных сервисов в пользу отечественных ресурсов)
Интересно, что за день до инцидента с Ростелекомом мелким провайдером "Новая Реальность" AS50048 из г. Шумерля через Транстелеком было анонсировано 2658 префиксов, затрагивающих Orange, Akamai, Ростелеком и сети ещё более 300 компаний
Утечка маршрутов привела к возникновению нескольких волн перенаправлений трафика, продолжительностью несколько минут, на пике проблема охватывала до 13.5 млн IP-адресов. Заметного глобального сбоя удалось избежать благодаря применению в Транстелекоме органичений маршрутов для каждого клиента
Подобные инциденты возникают в глобальной Сети регулярно и будут продолжаться, пока повсеместно не будут внедрены методы авторизации BGP-анонсов на основе RPKI (BGP Origin Validation), разрешающие приём анонсов только от владельцев сети. Без применения авторизации любой оператор может анонсировать подсеть с фиктивными сведениями о длине маршрута и инициировать транзит через себя части трафика от других систем, не применяющих фильтрацию анонсов
При этом, в рассматриваемом инциденте проверка с использованем RPKI-репозитория RIPE оказалась бесполезной. По стечению обстоятельств за три часа до утечки BGP-маршрута в Ростелекоме в процессе обновления программного обеспечения RIPE было случайно удалено 4100 ROA-записей (RPKI Route Origin Authorization). База была восстановлена только 2 апреля и всё это время для клиентов RIPE проверка находилась в неработоспособном виде (проблема не затронула RPKI-репозитории других регистраторов). Сегодня у RIPE возникли новые проблемы и репозиторий RPKI в течение 7 часов был недоступен
В качестве решения для блокирования утечек также можно применять фильтрацию на основе реестра IRR (Internet Routing Registry), который определяет автономные системы через которые допустима маршрутизация заданных префиксов. При взаимодействии с небольшими операторами для снижения последствий ошибок персонала можно ограничить максимально допустимое число принимаемых префиксов для сеансов EBGP (настройка maximum-prefix).
В большинстве случаев инциденты являются следствием случайных ошибок персонала, но в последнее время встречаются и целевые атаки, в ходе которых злоумышленники путём компрометации инфраструктуры провайдеров организуют перенаправление и перехват трафика для подмены конкретных сайтов через организацию MiTM-атаки для замены ответов DNS. Для усложнения получения TLS-сертификатов при проведении подобных атак удостоверяющий центр Let's Encrypt недавно перешёл к многопозиционной проверке доменов с использованием разных подсетей. Для обхода данной проверки атакующему потребуется одновременно добиться перенаправления маршрутов для нескольких автономных систем провайдеров с разными аплинками, что значительно сложнее, чем перенаправление единичного маршрута
Смотрите видео Утечки маршрутов и угон BGP-сесии стали доступнее на сети Ростелеком онлайн без регистрации, длительностью часов минут секунд в хорошем качестве. Это видео добавил пользователь Working on Telecom 05 Март 2021, не забудьте поделиться им ссылкой с друзьями и знакомыми, на нашем сайте его посмотрели 150 раз и оно понравилось 7 людям.