What is the Border Gateway Protocol (BGP)?

Internet no es una red única y homogénea. Está formado por varios rojos independientes que están unidos entre sí. Cuando el tráfico fluye a través de Internet, es probable que deba pasar por varios canales rojos independientes. La función del protocolo Border puerta de enlace (BGP) es ayudar a identificar una ruta para que el tráfico se mueva eficientemente desde el origen al destino.

Obtenga un escaneo gratuito Guía del comprador de DDoS

What is the Border Gateway Protocol (BGP)?

La necesidad de BGP

Internet se compone de una red de redes más pequeñas donde las redes más pequeñas son grandes grupos de enrutadores administrados por una organización más pequeña. Estos rojos más pequeños, llamados Sistemas Autónomos (AS), pueden ser Proveedores de Servicios de Internet (ISP) u otras grandes organizaciones; empresas, agencias gubernamentales, campus, etc.

A cada AS se le asigna un ASN único, que es un número que identifica el AS. Un AS conecta directamente a los usuarios a Internet y proporciona conectividad o rutas entre otros sistemas autónomos. Cuando un paquete de red se enruta a través de Internet, es probable que pueda seguir una variedad de rutas aprovechando diferentes enlaces entre ASN. Idealmente, seleccionará la ruta más corta; sin embargo, esta es una tarea difícil cuando hay miles de ASN y el mapa de Internet cambia constantemente.

Esta es la razón por la que BGP es una parte importante de cómo funciona Internet. A través de BGP, los ASN pueden anunciar rutas potenciales a varias direcciones IP o rangos, lo que permite a los enrutadores identificar la ruta más eficiente para que tome un paquete.

¿Cómo funciona?

Cada AS en Internet está conectado directamente a un conjunto de terminales que probablemente se encuentren dentro de un determinado rango de direcciones IP. En BGP, cada sistema autónomo es responsable de recopilar y comunicar información de enrutamiento con sus pares (los ASN con los que está directamente conectado) como anuncios de prefijo de red. Por ejemplo, un AS anunciará que está conectado directamente a ciertas direcciones IP, que está a un salto de otras, y así sucesivamente. Dado que cada AS comunicará la información de enrutamiento que ha recibido a sus pares, esta información eventualmente se filtrará a través de toda la red. Como resultado, un ASN aprenderá los prefijos de red incluso para los ASN a los que no está conectado directamente.

Con el prefijo de red y la información de salto, un AS puede determinar la mejor ruta para enviar tráfico a través de Internet. Si bien existen múltiples rutas potenciales para cada dirección IP, el AS tendrá la información necesaria para tomar la mejor decisión basada en sus criterios básicos, como velocidad, confiabilidad, costo y otros factores.

BGP externo vs BGP interno

A menudo, las discusiones y la aplicación de BGP se refieren a BGP externo (eBGP). Esto implica el uso del protocolo para identificar rutas potenciales para que el tráfico tome entre sistemas autónomos a través de la Internet pública.

Sin embargo, nada sobre el protocolo subyacente lo hace utilizable solo para el tráfico Cross-AS. Un AS puede optar por utilizar BGP para enrutar el tráfico dentro de su red, una práctica denominada BGP interno (iBGP). El uso de BGP interno y externo es independiente el uno del otro. Mientras que el BGP externo se utiliza en Internet, un AS puede elegir entre varios protocolos para enrutamiento interno.

Tipos de ataques BGP

BGP es uno de los protocolos fundamentales que hacen que Internet funcione. Sin embargo, como muchos de estos protocolos, puede ser vulnerable a ataques o abusos.

Secuestro BGP

BGP trabaja en gran medida en el sistema de honor. Un AS anuncia los prefijos de red a los que está conectado directamente y sus rutas a otras áreas de Internet. Sin embargo, otros ASEs tienen medios limitados para verificar la exactitud de esta información. En el pasado, algunos AS han publicado accidentalmente prefijos de red incorrectos, lo que puede aumentar la latencia de la red o hacer que partes de Internet sean inaccesibles para otros usuarios.

Esto también se puede hacer intencionalmente, una práctica llamada secuestro BGP. Un secuestrador BGP puede enrutar el tráfico de Internet a través de sí mismo para llevar a cabo varios ataques. Por ejemplo, un secuestrador BGP podría realizar un ataque de denegación de servicio (DoS) al enrutar el tráfico a través de sus sistemas y dejar de tener conexiones. Alternativamente, el secuestro de BGP también se ha utilizado en ataques de secuestro de DNS , donde el atacante redirige consultas de DNS y envía respuestas falsas que dirigen a los usuarios a sitios de phishing.

Ataques DDoS

BGP works by having ASes publish routing information to their peers. These ASes process the information, update their internal tables, and pass the information on to their peers. This creates the opportunity for a Distributed DoS (DDoS) attack. The attackers create a fake advertisement that an AS is looking for updating routing information, causing a flood of traffic and data that can overwhelm the system.

BGP con soluciones Check Point

BGP es una parte fundamental de cómo funciona Internet. Las organizaciones pueden usar BGP para enrutar tanto interna como externamente. Gaia, el sistema operativo integrado para Check Point Firewall de última generación (NGFW), tiene soporte integrado para BGP y otros protocolos de enrutamiento dinámico. BGP también es un componente central del DDoS Protector de Check Point. Con BGP, Check Point puede enrutar el tráfico sin problemas a centros de depuración para filtrar el tráfico DDoS y evitar que un adversario abrume a una organización. Para obtener más información sobre cómo elegir la solución de protección DDoS adecuada, lea nuestra Guía del comprador de DDoS.

x
  Comentarios
Este sitio web emplea cookies para su funcionalidad y con fines analíticos y de marketing. Al continuar empleando este sitio web, usted acepta el uso de cookies. Para más información, lea nuestro Aviso sobre cookies.