La necessità di BGP
Internet è composto da una rete di reti più piccole, dove le reti più piccole sono grandi gruppi di router gestiti da un'organizzazione più piccola. Queste reti più piccole, chiamate Sistemi Autonomi (AS), possono essere Internet Service Provider (ISP) o altre grandi organizzazioni; aziende, agenzie governative, campus, ecc.
A ogni AS viene assegnato un ASN unico, che è un numero che identifica l'AS. Un AS collega direttamente gli utenti a Internet e fornisce connettività o percorsi tra altri Sistemi Autonomi. Quando un pacchetto di rete viene instradato su Internet, può seguire una varietà di percorsi, sfruttando i diversi collegamenti tra gli ASN. Idealmente, selezionerà il percorso più breve; tuttavia, questo è un compito difficile quando ci sono migliaia di ASN e la mappa di Internet cambia costantemente.
Ecco perché il BGP è una parte importante del funzionamento di Internet. Tramite BGP, gli ASN possono pubblicizzare percorsi potenziali verso vari indirizzi IP o intervalli, consentendo ai router di identificare il percorso più efficiente per un pacchetto.
COME FUNZIONA?
Ogni AS in Internet è collegato direttamente a una serie di endpoint che probabilmente si trovano in un determinato intervallo di indirizzi IP. Nel BGP, ogni Sistema Autonomo è responsabile della raccolta e della comunicazione delle informazioni di routing con i suoi peer - gli ASN con cui è direttamente connesso - sotto forma di annunci di prefisso di rete. Ad esempio, un AS pubblicizzerà di essere direttamente connesso a determinati indirizzi IP, di essere a un hop di distanza da altri e così via. Poiché ogni AS comunicherà le informazioni di routing che ha ricevuto con i suoi pari, queste informazioni finiranno per permeare l'intera rete. Di conseguenza, un ASN apprenderà i prefissi di rete anche per gli ASN a cui non è direttamente collegato.
Con il prefisso di rete e le informazioni sugli hop, un AS può quindi determinare il percorso migliore per inviare il traffico su Internet. Anche se esistono più percorsi potenziali per ogni indirizzo IP, il SA disporrà delle informazioni necessarie per prendere la decisione migliore in base ai suoi criteri fondamentali, come velocità, affidabilità, costo e altri fattori.
BGP esterno vs BGP interno
Spesso, le discussioni e l'applicazione del BGP fanno riferimento al BGP esterno (eBGP). Si tratta di utilizzare il protocollo per identificare i percorsi potenziali del traffico tra i Sistemi Autonomi su Internet pubblico.
Tuttavia, nulla del protocollo sottostante lo rende utilizzabile solo per il traffico cross-AS. Un AS può scegliere di utilizzare il BGP per instradare il traffico all'interno della sua rete, una pratica definita BGP interno (iBGP). L'uso del BGP interno ed esterno sono indipendenti l'uno dall'altro. Mentre su Internet si utilizza il BGP esterno, un AS può scegliere tra diversi protocolli per il routing interno.
Tipi di attacchi BGP
Il BGP è uno dei protocolli fondamentali che fanno funzionare Internet. Tuttavia, come molti di questi protocolli, può essere vulnerabile agli attacchi o agli abusi.
Dirottamento BGP
Il BGP funziona in gran parte sul sistema d'onore. Un AS pubblicizza i prefissi di rete a cui è direttamente collegato e i suoi percorsi verso altre aree di Internet. Tuttavia, altri SA hanno mezzi limitati per verificare l'accuratezza di queste informazioni. In passato, alcuni AS hanno accidentalmente pubblicato prefissi di rete errati, che possono aumentare la latenza della rete o rendere inaccessibili parti di Internet ad altri utenti.
Questo può anche essere fatto intenzionalmente, una pratica chiamata BGP hijacking. Un dirottatore BGP può instradare il traffico Internet attraverso se stesso per eseguire vari attacchi. Ad esempio, un dirottatore BGP potrebbe eseguire un attacco denial of service (DoS) instradando il traffico attraverso i propri sistemi e interrompendo le connessioni. In alternativa, il BGP hijacking è stato utilizzato anche negli attacchi di DNS hijacking, in cui l'attaccante ha reindirizzato le query DNS e inviato risposte false indirizzando gli utenti verso siti di phishing.
Attacchi DDoS
BGP works by having ASes publish routing information to their peers. These ASes process the information, update their internal tables, and pass the information on to their peers. This creates the opportunity for a Distributed DoS (DDoS) attack. The attackers create a fake advertisement that an AS is looking for updating routing information, causing a flood of traffic and data that can overwhelm the system.
BGP con le soluzioni Check Point
Il BGP è una parte fondamentale del funzionamento di Internet. Le organizzazioni possono utilizzare il BGP per il routing sia interno che esterno. Gaia, il sistema operativo integrato nei Firewall di nuova generazione (NGFW) di Check Point , ha un supporto integrato per BGP e altri protocolli di routing dinamico. BGP è anche un componente fondamentale di DDoS Protector di Check Point. Con BGP, Check Point può instradare senza problemi il traffico verso i centri di scrubbing per filtrare il traffico DDoS ed evitare che un'organizzazione venga sopraffatta da un avversario. Per saperne di più sulla scelta della giusta soluzione di protezione DDoS, legga la nostra Guida all'acquisto DDoS.
Feedback