Cloudfare

I leak e gli hijack del Bgp, il Border Gateway Protocol, un protocollo di routing usato per connettere sistemi autonomi distinti, sono stati accettati come parte inevitabile di Internet per troppo tempo, secondo Cloudflare, società che si occupa di networking e sicurezza.

Internet è un’infrastruttura troppo vitale per consentire a questo problema, noto da tempo, di perseverare, afferma ancora Cloudflare, secondo cui è tempo che le reti si attrezzino per prevenire l’impatto dovuto a leak e hijack, rendendo il Bgp sicuro.

Il protocollo Bgp esiste, e si è evoluto, sin dagli anni ’80, e nel corso degli anni è stato dotato di funzionalità di sicurezza. La principale funzionalità di security aggiunta al protocollo si chiama Resource Public Key Infrastructure (Rpki), un framework progettato proprio per rendere sicura l’infrastruttura di routing di Internet e per prevenire il route hijacking e altri tipi di attacchi.

Oggi, sostiene Cloudflare, il settore considera Rpki abbastanza maturo per un uso diffuso, con un ecosistema sufficiente di software e strumenti, inclusi tool open source sviluppati dalla stessa Cloudflare, che dichiara di aver implementato pienamente la Origin Validation su tutte le proprie sessioni Bgp con i propri peer e firmato i prefissi.

Tuttavia, prosegue l’analisi di Cloudflare, Internet può essere sicura solo se i principali operatori di rete implementano Rpki. I grandi network hanno la capacità di diffondere falle o hijacking in lungo e in largo, ed è dunque fondamentale, secondo Cloudflare, che prendano parte alla lotta contro i problemi di sicurezza del Bgp.

Secondo Cloudflare, circa il 50% di Internet è ora più protetto contro i route leak, grazie all’implementazione di Rpki, ed è un dato positivo, ma ancora non sufficiente.

Per monitorare lo stato delle cose, Cloudflare ha rilasciato isBGPSafeYet.com, un sito web ideato per tracciare tali deployment e filtrare gli instradamenti invalidi da parte dei principali network e Internet Service Provider (Isp).

Si tratta di una iniziativa, ha spiegato Cloudflare, pensata per rendere Rpki più accessibile a tutti, al fine di ridurre l'impatto dei route leak. Lo scopo è che gli utenti condividano questo messaggio teso a una maggiore sicurezza della rete con il proprio provider Internet, di hosting o del network, per arrivare a un’Internet più sicura.

Cloudfare

Inoltre, per monitorare e testare le implementazioni, Cloudflare ha anche deciso di annunciare due prefissi che devono essere considerati non validi e che non devono essere instradati dal proprio provider se Rpki è implementato nel network:

103.21.244.0/24
2606:4700:7000::/48

Cloudfare

Nel test pubblicato, e che è possibile eseguire, su isBGPSafeYet.com, il browser dell’utente proverà a ottenere due pagine: la prima, valid.rpki.cloudflare.com, è dietro un prefisso valido Rpki mentre la seconda, invalid.rpki.cloudflare.com, è dietro un prefisso Rpki non valido.

Due risultati sono possibili: se entrambe le pagine vengono recuperate correttamente, l'Isp ha accettato il percorso non valido e pertanto non implementa Rpki. Se invece viene recuperato solo valid.rpki.cloudflare.com, l’Isp dell’utente implementa Rpki e quel network sarà meno vulnerabile ai route leak.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato sulle novità tecnologiche iscriviti alla newsletter gratuita.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome