How To

Al DefCon,due esperti di networking (Alex Pilosovand Anton “Tony” Kapela) hanno dimostrato come sia possibile sfruttare la troppa credibilità ,che il protocollo bgp dà alle informazioni interscambiate tra i router dei vari ISP,  esponendo il fianco a possibili attacchi man-in-the-middle (MiM).

Funzionamento del BGP

Questo protocollo di routing non fà altro che tramite una serie di algoritmi calcolare la “best” path verso una determinata sottorete.Una volta calcolata,questa viene “spreadata” a tutti i router vicini definiti “neighbour”.BGP inoltre riterrà una route come la più favorità quanto più sia vicina alla rete di destinazione.Ecco un esempio….

Network          Next Hop           Metric LocPrf Weight Path  *>  151.1.0.0/16      5.198.4.2             0    100      0  100 ?

  *>  151.1.3.0/24     5.198.4.3             0    100      0  100 ?
Qui sopra vediamo riportato l’output di una entry BGP,ritornando al discorso cominciato sopra se per esempio noi dobbiamo raggiungere l’indirizzo 151.1.3.34 la best path sarà la seconda perchè è più “vicina” rispetto alla prima in quanto lnella seconda entry viene annunciata una sottorete più completa rispetto alla prima e quindi più simile all’indirizzo ip che dobbiamo raggiungere.

Dove stà l’inghippo….

Visto che BGP prenderà come vere ogni aggiornamento sulle route e eleggerà come best path quella più vicina all’ip di destinazione….un male intenzionato potrebbe “spreadare” un falso update BGP per dirottare il traffico verso un determinato indirizzo ip verso un altro e verrebbe sempre considerato vero dai router e verrà annunciato a tutti i “neighbour”.

Un evento del genere era già capitato per sbaglio a You Tube quando la Telecom Pakistana ha cominciato a “spreadare” update BGP errati sulla route verso you tube questo ha causato l’irraggiungibilità del sito per diverse ore.Potete leggerne di più qui http://news.bbc.co.uk/1/hi/technology/7262071.stm

Purtroppo la facilità con cui si può creare un router BGP e quindi poter spargere falsi update è molto semplice come è dimostrato dall’articolo qui sotto dove viene creato utilizzando un semplice Mac Mini. http://www.fubra.com/blog/2007/10/mac-mini-bgp-routers-part-2.html

Riporto qui di seguito il file di presentazione power point utilizzato dai due esperti per il DefCon.

http://installatore.files.wordpress.com/2008/09/edited-iphd-2.ppt

Ovviamente per ovviare a questa mancanza nel protocollo ,che è il più usato per il collegamento tra i vari ISP,si è studiato una soluzione chiamata S-BGP (Secure BGP) che consiste in tutta una serie di collegamenti cifrati tramite IPsec e certificati per rendere sicuro l’interscambio di informazioni tra i vari Enterprise router.Questo sicuramente eliminerebbe il problema ,ma comporterebbe un notevole esborso in termini di denaro per sostituire tutti i router ormai obsoleti che a causa della limitata potenza di calcolo oltrechè alla memoria ristretta nonchè all’altissimo numero di collegamenti che reggono,che non reggerebbero di certo il nuovo protocollo.

Come conclusione citando Douglas Maughan( cybersecurity research program manager for the DHS’s Science and Technology Directorate)

The only thing that can force them (to fix BGP) is if their customers … start to demand security solutions