خبر

تحلیل نشت مسیر BGP در ونزوئلا: درس هایی برای امنیت زیرساخت اینترنت

انتشار در تاریخ توسط یاشار عبدالمالکی
تحلیل نشت مسیر BGP در ونزوئلا: درس هایی برای امنیت زیرساخت اینترنت

تیم تحریریه استاد آی تی گزارش می دهد: در تاریخ ۲ ژانویه ۲۰۲۶، جامعه جهانی اینترنت شاهد یک رویداد مهم در حوزه امنیت شبکه بود: نشت مسیر BGP (Border Gateway Protocol) در ونزوئلا. این اتفاق که توسط شرکت Cloudflare به دقت مورد بررسی و تحلیل قرار گرفت، بار دیگر آسیب پذیری های موجود در زیرساخت های حیاتی اینترنت را نمایان ساخت. این نشت مسیر، که از شبکه CANTV (AS8048)، ارائه دهنده خدمات اینترنتی دولتی ونزوئلا، سرچشمه می گرفت، نه تنها بر ترافیک داخلی این کشور تاثیر گذاشت، بلکه سوالاتی جدی درباره پروتکل های امنیتی و نیاز به استاندارد های جدید در سطح جهانی مطرح کرد.

نشت مسیر BGP چیست و چرا اهمیت دارد؟

پروتکل BGP ستون فقرات مسیریابی در اینترنت جهانی است. این پروتکل به سیستم های خودمختار (Autonomous Systems یا AS) اجازه می دهد تا اطلاعات مربوط به مسیر های شبکه را با یکدیگر مبادله کنند و ترافیک را به مقصد صحیح هدایت نمایند. یک نشت مسیر BGP زمانی رخ می دهد که یک AS، مسیر هایی را فراتر از محدوده مورد نظر خود تبلیغ می کند. این وضعیت را می توان به اشتباه خارج شدن از یک بزرگراه تشبیه کرد؛ اگرچه ممکن است در نهایت به مقصد برسید، اما مسیر طولانی تر، کندتر و با تاخیر های غیرمنتظره همراه خواهد بود. این نشت ها می توانند منجر به اختلال در دسترسی به اینترنت، کندی شدید و حتی حملات سایبری پیچیده تر شوند.

جزئیات فنی نشت مسیر CANTV

بر اساس تحلیل Cloudflare، نشت مسیر اخیر در ونزوئلا شامل تبلیغ اشتباه پیشوند های متعلق به Dayco Telecom (AS21980) توسط CANTV (AS8048) به سمت V.tal GlobeNet (AS52320) بود. این مسیر ها در اصل از Sparkle (AS6762)، یکی از تامین کنندگان CANTV، دریافت شده بودند. این نوع نشت، که به عنوان نشت نوع ۱ یا Hairpin route leak شناخته می شود، نشان دهنده یک نقص در سیاست های صادراتی مسیریابی CANTV است. به عبارت دیگر، CANTV مسیر هایی را که از تامین کننده خود دریافت کرده بود، به اشتباه به تامین کننده دیگری بازنشر کرد، در حالی که نباید چنین اتفاقی می افتاد.

کارشناسان استاد آی تی معتقدند که این رویداد، به احتمال زیاد، ناشی از یک خطای پیکربندی (misconfiguration) بوده و نه یک اقدام مخرب عمدی. دلایل متعددی این فرضیه را تقویت می کند. اولا، CANTV از تکنیک BGP Prepending استفاده کرده بود که به معنای تکرار چندین باره شناسه AS خود در مسیر تبلیغ شده است. این کار باعث می شود مسیر برای سایر شبکه ها کمتر جذاب به نظر برسد و ترافیک کمتری را به سمت خود جذب کند. اگر هدف، حمله مرد میانی (Man-in-the-Middle یا MITM) بود، منطقی تر بود که مسیر را جذاب تر کنند. ثانیا، CANTV خود تامین کننده Dayco Telecom است، بنابراین نیازی به نشت مسیر برای دسترسی به ترافیک آن نداشت.

راهکار های پیشگیری و آینده امنیت BGP

این حادثه، مانند بسیاری از حوادث مشابه، بر ضرورت پیاده سازی استاندارد های امنیتی قوی تر در BGP تاکید می کند. دو راهکار کلیدی که می توانند به طور قابل توجهی از وقوع چنین نشت هایی جلوگیری کنند، عبارتند از:

۱. RPKI (Resource Public Key Infrastructure)

RPKI یک چارچوب امنیتی است که به صاحبان منابع اینترنتی (مانند پیشوند های IP) اجازه می دهد تا گواهی های دیجیتالی ایجاد کنند که تایید می کند چه AS هایی مجاز به تبلیغ پیشوند های آن ها هستند. این امر به جلوگیری از جعل مبدا (Route Origin Hijacks) کمک می کند. با این حال، همانطور که در تحلیل Cloudflare اشاره شد، RPKI به تنهایی نمی تواند از نشت های مسیر مبتنی بر نقص در مسیر (path-based anomalies) جلوگیری کند، زیرا در این موارد، مبدا مسیر صحیح است اما خود مسیر اشتباه است.

۲. ASPA (Autonomous System Provider Authorization) و RFC9234

ASPA یک استاندارد در حال توسعه توسط IETF است که بر پایه RPKI بنا شده و به طور خاص برای مقابله با نشت های مسیر طراحی شده است. ASPA به AS ها اجازه می دهد تا تامین کنندگان مجاز خود را اعلام کنند. با استفاده از این اطلاعات، سایر شبکه ها می توانند مسیر های نامعتبر را که از طریق تامین کنندگان غیرمجاز تبلیغ شده اند، شناسایی و رد کنند. علاوه بر ASPA، استاندارد RFC9234 نیز با معرفی نقش های BGP و ویژگی Only-to-Customer (OTC) می تواند به سفت و سخت تر شدن سیاست های مسیریابی و جلوگیری از نشت ها کمک کند. پیاده سازی گسترده این استاندارد ها نیازمند همکاری تمامی اپراتور های شبکه در سطح جهانی است.

پیامد ها و درس ها برای ایران و جهان

نشت مسیر BGP در ونزوئلا یادآور این نکته است که امنیت و پایداری اینترنت یک مسئولیت مشترک است. هرگونه نقص در پیکربندی یا عدم رعایت استاندارد های امنیتی توسط یک AS می تواند پیامد های گسترده ای برای کاربران در سراسر جهان داشته باشد. برای کشور هایی مانند کشور عزیزمان ایران، که زیرساخت های اینترنتی آن ها نیز با چالش های متعددی روبرو است، توجه به این مسائل حیاتی است. پیاده سازی RPKI و آمادگی برای پذیرش استاندارد های جدید مانند ASPA، گام های مهمی در جهت افزایش تاب آوری و امنیت شبکه ملی اطلاعات و اتصال به اینترنت جهانی محسوب می شود.

واژه نامه تخصصی:

  • BGP (Border Gateway Protocol): پروتکل دروازه مرزی، پروتکل اصلی مسیریابی بین سیستم های خودمختار در اینترنت.
  • AS (Autonomous System): سیستم خودمختار، مجموعه ای از شبکه های IP که تحت یک مدیریت واحد قرار دارند و سیاست های مسیریابی یکسانی را دنبال می کنند.
  • Route Leak: نشت مسیر، تبلیغ اشتباه مسیر های شبکه فراتر از محدوده مورد نظر.
  • RPKI (Resource Public Key Infrastructure): زیرساخت کلید عمومی منابع، چارچوبی برای تایید مالکیت و مجوز تبلیغ پیشوند های IP.
  • ASPA (Autonomous System Provider Authorization): مجوز تامین کننده سیستم خودمختار، استانداردی برای اعلام تامین کنندگان مجاز یک AS به منظور جلوگیری از نشت مسیر.
  • RFC9234: سندی که نقش های BGP و ویژگی Only-to-Customer (OTC) را برای بهبود امنیت مسیریابی معرفی می کند.
  • BGP Prepending: تکنیکی برای طولانی کردن مصنوعی مسیر BGP به منظور کاهش جذابیت آن برای مسیریابی.
  • Man-in-the-Middle (MITM): حمله مرد میانی، نوعی حمله سایبری که در آن مهاجم ارتباط بین دو طرف را رهگیری و دستکاری می کند.

منابع:
A closer look at a BGP anomaly in Venezuela

این پست چقدر مفید بود؟

بر روی یک ستاره کلیک کنید تا به آن امتیاز دهید!

میانگین امتیاز ۵ / ۵. میانگین امتیاز: ۲

تاکنون هیچ رأیی ثبت نشده است! اولین نفری باشید که به این پست امتیاز می‌دهد.

یاشار عبدالمالکی

یاشار عبدالمالکی هستم، کاوشگر دنیای بی کران فناوری. با قلمم، تازه ترین اخبار و تحولات حوزه IT را برای شما به ارمغان می آورم. همراه من باشید در این سفر هیجان انگیز به آینده با خبرهای روز!

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *