תפריט נגישות

אורקל מציגה כלי חינמי חדש לניתוח ניתובי התקשורת עבור צמתי אינטרנט (Internet Exchanges)

אורקל מסייעת באמצעות הכלי, IXP Filter Check, להפוך את האינטרנט למקום בטוח יותר ולקחת חלק במאמץ לשיפור אבטחת ניתובי התקשורת (routing) 

צוות Internet Intelligence של אורקל משיק שירות חדש, אשר צפוי לסייע למאמצים לאבטחת הניתובים באינטרנט. הכלי החינמי, שנקרא IXP Filter Check, מיועד לסייע למפעילים של צמתי האינטרנט (IXPs) על ידי חיפוש אזורים שמצריכים שיפור בסינון הנתיבים ודיווח עליהם. 

בשנה שעברה, אורקל החלה לשתף פעולה עם איגוד האינטרנט העולמי (Internet Society) במטרה לחקור דרכים חדשות, שיאפשרו להפוך את האינטרנט לבטוח יותר ומאובטח יותר עבור הלקוחות הארגונייםעסקים - בנקים, חברות ביטוח, חברות תרופות - וכן ארגונים ללא כוונת רווח וממשלות ממשיכים להסתמך על נכסים ממוקדי-אינטרנט כרכיבי מפתח של התשתית הקריטית שלהם 

מה זה ניתוב BGP ומדוע נדרש שיפור של אבטחת הניתוב? 

Border Gateway Protocol (BGP) הוא אחד הפרוטוקולים העיקריים שמאפשרים את פעולת האינטרנט. מדובר במנגנון אשר מפיץ מידע ברחבי האינטרנט בנוגע לאופני ההגעה לטווחי כתובות IP ואשר מבוסס על אמון. למרות עשרות שנות מחקר והנדסה בתחום, אבטחת הניתוב באינטרנט ממשיכה להיות מסובכת ביותר. האתגר ניכר בעובדה, שכמעט מדי חודש אנו עדים לסיפור משמעותי נוסף בנוגע לאירוע ניתוב משבש  הקשור ב-BGP.

בשנה שעברה בלבד, קרו יותר מ- 12,000 השבתות או מתקפות על ניתובי תקשורת ברחבי העולם.

השנה למשל, ספק שירותי אינטרנט קטן בפנסילבניה השתמש ב-BGP  כדי להכריז על ניתובי טראפיק  שגויים מהרשת שלו לאחד מלקוחותיו, חברה בשם Allegheny Technologies. המידע הזה הועבר לווריזון (Verizon) וכיוון שלווריזון לא היה סינון ניתוב, המחסור במידע גרם להשבתת אינטרנט בהיקף נרחב שהשפיעה על אמזון, פייסבוק, Cloudflare ואחרים. 

האיום המתרחב הזה, שנובע או מטעויות קונפיגורציה או מכוונות זדון, ממשיך להגדיל את איומי אבטחת המידע ולסכן את הפרטיות. מה שמסבך את העניין עוד יותר, זה כאמור המספר ההולך וגדל של מכשירים המחוברים לאינטרנט. להערכת מכון המחקר IDC, כ 55.9 מיליארד התקנים יהיו מקוונים עד לשנת 2025. "מחובתנו, כשותפים וספקים מהימנים, לסייע להפוך את האינטרנט הגלובלי לבטוח ככל האפשר", ציינו באורקל 

כיצד IXP Filter Check יכול לסייע 

צמתי האינטרנט (IXPs) הינם התשתית הפיזית אשר מאפשרת את החיבורים בין ספקי שירות האינטרנט (ISPs) לבין רשתות אספקת התוכן (CDNs) וכך מאפשרים חילופי תעבורת אינטרנט בין המערכות או הרשתות האוטונומיות שלהם. צמתי ה-IXP ממלאים תפקיד חיוני בתשתית האינטרנט, מעצם כך שהם מאפשרים אלפי חיבורים בין הרשתות של חברות הטלקום, ספקי התוכן ועסקים מובילים אחרים. בנוסף, הם מיועדים גם לסנן את הודעות ה-BGP הבעייתיות המעורבות באירועי BGP משבשים. 

באופן ספציפי, ה-IXP אמורים לסנן (כלומר, לא לנתב) תעבורה המיועדת לכתובות IP שאינן בשימוש (הידועות כ-bogons), או לכתובות IP שידוע כי הן נמצאות בשימוש על ידי גורמים שליליים (או "Spamhous Droplists"). בפועל, זהו לא תמיד המצב (לעתים קרובות בגלל שגיאות תצורה פשוטות). 

צוות Internet Intelligence של אורקל פיתח את IXP Filter Check כדי לאפשר ניתוח של סינון הניתוב בכמעט 200 מחלפי IXP ברחבי העולם. IXP Filter Check הוא הכלי הציבורי הראשון מסוגו, אשר מנתח ברציפות את התנהגות שרתי הניתוב לרוחב האינטרנט (ראו איור 1 להלן). על ידי ניטור הנתיבים שמעבירים שרתי הניתוב בנקודות IXP אלה, IXP Filter Check מספק משוב בנוגע לנקודות ה-IXP וזאת במטרה לזהות מקומות שבהם נדרש שיפור של סינון הנתיבים ולסייע בתאימות הטכנית לדרישות ה-IXP של MANRS.

איור 1

[1] צילום של כלי ה-IXP שלנו ממחיש כיצד הכלי מדווח אודות המספר הייחודי של צמדי קידומת/מקור, הודעות שאינן תקפות מבחינת RPKI או כאלה החסרת אובייקט ניתוב (רישום IRR) במועד האיסוף, כמו גם קידומות ומספרי ASN (שהנם bogons (במילים פשוטות, bogons הן כתובות IP זמינות אשר טרם הוקצו לגורם כלשהו) או כאלה שכלולים ברשימות Spamhaus (בלוקי IP ידועים אשר "נחטפים" או מוחכרים לצורך פעילות מקצועית של ספאם או פשעי סייבר (משמשים להפצת תוכנות זדוניות, מורידי סוסים טרויאנים, בקרי בוטנט).

במהלך הפיתוח, IXP Filter Check זיהה תצורות סינון שגויות משמעותיות בשלוש נקודות IXP, כולל הפסקת פעולה בת חודש של מסנני RPKI באחת מנקודות ה-IXP הגדולות ביותר בעולם. על ידי זיהוי בעיות אלה, IXP Filter Check אפשר למנהלים של שרתי הניתוב, שפעלו תוך שיתוף פעולה, לתקן את סינון הניתוב שלהם ואף אימת את הצורך בסקירה טכנית של סינון שרתי הניתוב על ידי גורם צד שלישי.

באורקל מדגישים את מחוייבות החברה לסייע להפוך את האינטרנט למקום בטוח ומאובטח יותר עבור חברות ומשתמשים גלובליים, "אנו גאים לתרום את הכלי הזה שמסייע ל-IXPs בשיפור אבטחת הניתוב, ומודים ל-PCH ולאיגוד האינטרנט העולמי על השותפות ההדוקה במאמצים אלו".

להסבר טכני יותר על הכלי, ניתן לקרוא את הבלוג של דאג מאדורי, דירקטור ב-Oracle Internet Intelligence  בתחום Internet Analysis.