Незащищенность маршрутизаторов угрожает Сети

04.03.2003 | 15:22
В граничном шлюзовом протоколе (Border Gateway Protocol - BGP), технологии, широко используемой для эффективной маршрутизации данных по интернету, полно дыр в защите и он нуждается в замене, предупредил консультант по информационной безопасности.

Однако разработке надежной замены для BGP мешает технологическая проблема курицы и яйца, утверждает Стивен Дюган (Stephen Dugan), выступивший на состоявшейся на прошлой неделе в Сиэтле конференции Black Hat Security Briefings. Усовершенствование возможно только в том случае, если надежный протокол будет установлен на большинстве маршрутизаторов, однако из-за высокой стоимости внедрения Secure BGP на это пойдут не многие компании.

В настоящее время BGP используют около 12 тыс. маршрутизаторов, выполняющих функции шлюзов примерно для 130 тыс. сетей. Маршрутизатор, исполняющий BGP, может устанавливать связь со своими соседями, сообщая им, в какие сети этот маршрутизатор может передавать данные эффективно.

Однако, если маршрутизатор неправильно сконфигурирован или атакован злоумышленником, он может создать хаос, ложно объявив себя лучшим маршрутом для некоей сети. Маршрутизаторы, использующие BGP, слепо доверяют своим соседям по интернету, не требуя от них какой-либо цифровой идентификации. Поэтому простой подлог позволяет атакующему перенаправить трафик, перехватить данные, создать информационную "черную дыру" и даже замаскироваться под другой сервер.

Это не чисто теоретическая проблема. В апреле 1997 года мелкий интернет-сервис-провайдер в штате Вирджиния неправильно сконфигурировал свой маршрутизатор, в результате чего тот объявил себя лучшим маршрутом для всего интернета. Последовавшая за этим лавина данных заблокировала этот маршрутизатор и нарушила работу крупных сегментов интернета, так что в некоторых местах связь отсутствовала в продолжение двух часов.

Даже правительство США обратило внимание на незащищенность маршрутизаторов интернета. Недавно администрация Буша назвала BGP критической технологией, нуждающейся в укреплении защиты, наряду с системой доменных имен (DNS).

Однако, несмотря на опасность, работа продвигается медленно. Организация Internet Engineering Task Force (IETF), которая устанавливает технические стандарты для интернета, разработала спецификацию Secure BGP. Но производители сетевого оборудования медлят с освоением новой технологии, так как для этого потребуется дорогостоящая инфраструктура управления цифровыми подписями и модернизация оборудования.
безопасность, информация, защита информации, статьи, библиотека, аудит, администрирование, реагирование на инциденты, криптография, уязвимость
По материалам http://zdnet.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код