12 April

IaaS-провайдеры поборются с атаками на BGP-протокол

1cloud.ru corporate blogNetwork technologiesServer AdministrationDevelopment of communication systemsNetwork standards
Несколько крупных организаций присоединились к MANRS. Это — инициатива, участники которой стараются предотвращать распространение некорректных данных о маршрутах в сетях провайдеров.

Ошибки маршрутизации могут приводить к сбоям. Избежать их особенно важно сейчас, когда многие сидят по домам, и нагрузка на инфраструктуру продолжает увеличиваться.


Фото — Ma Joseph — Unsplash

Что влияет на работу облака


В последние месяцы больше народа стало сидеть дома и работать удаленно. Этот факт привел к значительному увеличению нагрузки на сервисы IaaS-провайдеров. Один из западных облачных вендоров отметил восьмикратный рост числа пользователей в Италии, где введены строгие меры самоизоляции. Отчасти эффект вызван ростом числа бизнесов, желающих закупить инфраструктуру для настройки удаленных рабочих мест.

По данным Европола, вместе с нагрузкой на ИТ-инфраструктуру возросло и число киберпреступлений. Похожим образом ситуация развивается и в США. Мошенники часто упоминают коронавирус в рассылках фишинговых писем. О росте подобных атак предупредили даже в Министерстве внутренней безопасности США (Department of Homeland Security).

Также эксперты фиксируют рост числа атак, направленных на протокол динамической маршрутизации BGP. Наряду с DNS, он выступает одним из ключевых компонентов интернета. С помощью протокола маршрутизаторы провайдеров передают друг другу данные о доступности сетей. Еще в 1998 году участник хакерской группировки L0pht говорил, что продуманная атака на BGP способна «отключить» мировой интернет за полчаса.

В таких условиях важно защитить инфраструктуру, на которой построены сети облачных и интернет-провайдеров. Поэтому в конце марта несколько крупных IaaS-вендоров и ИТ-компаний — в их числе Google, Facebook, Microsoft и Netflix — подключились к проекту MANRS (Mutually Agreed Norms for Routing Security).

Чем занимается MANRS


Проект был основан в 2014 году при поддержке международной организации «Общество интернета», финансирующей деятельность Инженерного совета интернета (IETF) и Совета по архитектуре интернета (IAB). Его участники — сегодня их более 300 — работают над сводом лучших практик для повышения безопасности маршрутизации.

В марте в рамках инициативы запустили новую программу, специально для облачных провайдеров и компаний, отвечающих за работу сетей доставки контента (CDN). Именно к ней подключились Google, Facebook и другие операторы.

Они помогут с внедрением механизмов фильтрации и антиспуфинга, чтобы бороться с кражами префиксов (route hijacking) и подделками IP-адресов.

Также корпорации будут популяризовать механизм RPKI (Resource Public Key Infrastructure) — иерархической системы открытых ключей для обеспечения безопасности глобальной маршрутизации. Пока что её использует всего 10% участников MANRS. Еще ИТ-компании будут разрабатывать инструменты для сетевого мониторинга.

Перспективы


Андрей Робачевский (Andrei Robachevsky), руководитель проектов «Общества интернета», убежден, что крупные игроки, подобные Google и Microsoft, помогут сократить число хакерских атак на BGP. За последние несколько лет MANRS уже удалось достигнуть определенных успехов.

Как пишет The Register, в 2017 году аналитики зафиксировали 14 тыс. инцидентов, связанных с вмешательством в работу протокола. Годом позднее, благодаря деятельности организации, общее число инцидентов сократилось до 12 тыс.


Фото — Chris Dickens — Unsplash

Также есть мнение, что крупные компании послужат примером и привлекут в MANRS другие фирмы. Уже есть первые результаты — недавно к инициативе присоединился оператор China Telecom. Его критиковали за частые ошибки с маршрутизацией. Буквально в прошлом году компания случайно направила через свои сети трафик нескольких европейских операторов связи. По словам Андрея Робачевского, China Telecom сами обратились к сообществу с просьбой помочь им предотвратить подобные инциденты в будущем.

Есть основания полагать, что это не последний раз, когда крупная компания присоединяется к MANRS.

Отметим, что это не единственный проект, к которому подключаются облачные провайдеры. В конце марта более 80 новых компаний стали членами фонда CNCF (Cloud Native Computing Foundation), сформированного при поддержке The Linux Foundation и крупных западных IaaS-провайдеров. Организации направят ресурсы на развитие открытых облачных сервисов и инструментов для обеспечения информационной безопасности.

Свежие материалы из нашего корпоративного блога:

Чем поможет облако на удаленной работе
Как новые возможности панели 1cloud помогают клиенту: опыт компании «Комплекс-ойл»
«Почти анархия»: краткая история Fidonet — проекта, которому «нет дела» до победы над интернетом
Tags:1cloudBGPMANRSit-инфраструктураглобальная сеть
Hubs: 1cloud.ru corporate blog Network technologies Server Administration Development of communication systems Network standards
+8
2.3k 10
Leave a comment