O Cloudflare introduziu uma nova ferramenta para ajudar a melhorar a segurança do BGP, que pode responsabilizar os ISPs por suas medidas de segurança do BGP.
Em uma publicação recente no blog, o provedor de serviços em nuvem disse que questões de segurança do Border Gateway Protocol (BGP), como vazamentos e invasões, “foram aceitas como parte inevitável da Internet por muito tempo”.
O protocolo BGP está em uso desde os anos 90 e é o sistema de fato usado para rotear o tráfego da Internet entre redes da Internet em todo o mundo. Desde então, o sistema viu a introdução de várias novas medidas de segurança, incluindo TLS, DNSSEC e projetos como a RPKI (Resource Public Key Infrastructure) para torná-lo menos vulnerável a vazamentos e seqüestros.
O BGP [RFCs 1771,1772,1773,1774,1657] é um protocolo de roteamento entre sistemas autônomos, criado para uso nos roteadores principais da Internet. O BGP foi projetado para evitar laços de roteamento em topologias arbitrárias, o mais sério problema de seu antecessor, o EGP.
Infelizmente, porém, o seqüestro de BGP ainda ocorre no nível do ISP, com o provedor de telecomunicações estatal russo Rostelecom e a China Telecom sendo dois dos maiores infratores. Por exemplo, o tráfego destinado a mais de 200 das maiores redes de entrega de conteúdo (CDNs) do mundo e provedores de hospedagem na nuvem foi redirecionado recentemente pelo Rostelecom.
O BGP ainda é seguro?
Em um esforço para responsabilizar os ISPs, a Cloudflare lançou um novo site chamado isBGPSafeYet, que permite aos usuários verificar se o ISP está usando ou não o RPKI, o que ajuda a filtrar rotas de tráfego inválidas.
O site executa um teste no qual tenta buscar duas páginas (valid.rpki.cloudflare.com e invalid.rpki.cloudflare.com) para ver se um ISP ativou o RPKI. Se o teste falhar, o site da Cloudflare permite que os usuários twitem o fato de que seu ISP não está usando RPKI na esperança de que a pressão pública possa levar ao aumento da adoção da estrutura de infraestrutura de chave pública.
Embora o RPKI não seja perfeito para impedir o seqüestro de BGP, quase metade de todas as redes que empregam a ferramenta são menos suscetíveis a vazamentos de rota, de acordo com os testes do Cloudflare.
A empresa também disponibilizou os scripts usados em seu novo site no GitHub para uso de outras pessoas.
Saiba mais em nosso setor especializado em segurança digital.
