Белый дом назвал протокол BGP угрозой нацбезопасности и представил план его защиты

Офис национального киберкоординатора США при Белом доме (ONCD) опубликовал дорожную карту по устранению давних уязвимостей в базовом протоколе маршрутизации интернета — Border Gateway Protocol (BGP). Документ прямо называет проблему угрозой национальной безопасности.

BGP печально известен подверженностью ошибкам конфигурации, которые способны на время нарушить работу целых сегментов сети. Он же становится мишенью атак, включая злонамеренную подмену маршрутов трафика. «Изначальные принципы проектирования BGP не отвечают требованиям к устойчивости и защите современной интернет-экосистемы», — говорится в сопроводительном фактлисте к дорожной карте. Там же подчёркивается: «Потенциал масштабного сбоя интернет-инфраструктуры — случайного или злонамеренного — представляет собой угрозу национальной безопасности».

Суть документа «Roadmap to Enhancing Internet Routing Security» проста: федеральным ведомствам и сетевым операторам предлагается ускорить внедрение схемы криптографии с открытым ключом — Resource Public Key Infrastructure (RPKI). Дорожная карта появилась вслед за майской рекомендацией Федеральной комиссии по связи США (FCC), обязавшей девять крупных американских интернет-провайдеров отчитываться о прогрессе в защите BGP.

Протокол, придуманный на салфетке

BGP разработали в 1989 году — том же году, когда британец Тим Бернерс-Ли изобрёл HTML, гиперссылки и веб. Два инженера IBM набросали протокол во время обеденного перерыва на обратной стороне бумажных салфеток, за что BGP позже получил прозвище «протокол двух салфеток». О безопасности тогда никто не задумывался — отсюда и десятилетия попыток задним числом «прикрутить» защиту и к вебу, и к самому BGP.

BGP — протокол, без которого интернет попросту не работал бы: он позволяет пакетам данных найти путь через огромную сеть взаимосвязанных сетей и добраться до нужного адресата, используя множественную маршрутизацию и алгоритмы выбора оптимального пути в реальном времени.

Когда маршрутизация выходит из-под контроля

Пока BGP работает штатно, его никто не замечает. Но стоит случиться сбою — и последствия развиваются стремительно, чаще всего из-за банальных ошибок, а не заговоров. В январе 2023 года из-за неверной конфигурации BGP собственные сервисы Microsoft вышли из строя. Ещё раньше, в июне 2019-го, небольшой провайдер из Пенсильвании по ошибке начал анонсировать BGP-маршруты, которые выглядели как удобный путь к Amazon и Cloudflare. Начался настоящий «трафик-штурм»: крошечная компания на время превратилась в бутылочное горлышко для чужого трафика, а маршрутизаторы продолжали гнать пакеты через эту «соломинку», пока проблему не заметили. По иронии, виновником стало программное обеспечение — оптимизатор маршрутов, — которое как раз должно было помогать.

Базовая проблема в том, что BGP изначально не умеет проверять, какая сеть имеет право анонсировать какие блоки адресов. Решить это призваны механизмы на базе RPKI — Route Origin Authorization (ROA) и Route Origin Validation (ROV): они требуют подтверждения, что сеть действительно вправе анонсировать маршрут, прежде чем начать принимать по нему пакеты. Это же существенно затрудняет злонамеренный перехват трафика. У обоих механизмов есть ограничения, но эксперты сходятся во мнении, что это разумная отправная точка — правда, в интернет-сообществе всё движется медленно, даже под давлением Белого дома.

Что предписал ONCD

ONCD рассчитывает, что к концу года 60% адресного пространства IP, анонсируемого федеральным правительством США, будет охвачено соглашениями о регистрации (RSA), необходимыми для оформления ROA. При этом в самой дорожной карте признаётся: полноценному внедрению мешает то, что провайдеры редко ощущают прямые последствия небезопасности BGP на себе, а значит, инвестиции в защиту не приносят им очевидной финансовой отдачи. Плюс некоторым операторам придётся заменить или обновить маршрутизаторы, чтобы те поддерживали ROV.

В ответ ONCD рекомендует провайдерам оценивать технические последствия внедрения ROA и ROV для своей инфраструктуры и включать защиту BGP в оценку киберрисков. Полный список рекомендаций гораздо шире и подробно описывает, как операторам следует прописывать в контрактах условия IP-транзита, облачных и инфраструктурных услуг. Главный посыл: провайдерам стоит самим следить за качеством и защищённостью своей BGP-конфигурации, а не перекладывать уборку последствий на других. Тем, кто работает в сфере интернет-провайдинга, рекомендации по ROA и ROV стоит изучить внимательно — для крупных операторов они уже становятся частью лучших практик.

Не все в восторге от подхода США

Издание Network World поговорило с известным интернет-экспертом и бывшим журналистом Кираном Маккарти, который в целом позитивно оценил стремление ONCD «сталкивать лбами» участников рынка ради более широкого внедрения защиты. Но у него есть оговорки. «Немного настораживает, что власти США, похоже, действуют в одиночку — вплоть до создания новой рабочей группы, состав которой пока не объявлен», — сказал Маккарти. «Интернет остаётся глобальной сетью, и правительству США стоило бы подкрепить слова делом и поддержать международную многостороннюю модель решения интернет-проблем», — добавил он.

Маккарти отметил, что дорожная карта дополняет уже существующие инициативы вроде MANRS (Mutually Agreed Norms for Routing Security) — глобальной программы с той же целью защиты маршрутизации. «Мне любопытно, зачем понадобилось разрабатывать собственный подход?» — задался он вопросом, но заключил: «Ворчание в сторону — дорожная карта Белого дома всё же хорошая инициатива».

ONCD, созданный в 2021 году, уже успел заслужить репутацию структуры, которая умеет добиваться своего. Ранее в этом же году другой доклад ведомства рекомендовал разработчикам снижать риск кибератак, отказываясь от уязвимых языков программирования вроде C и C++.

Источник: NetworkWorld.