Большой передел мира
264,092,798
518,471
|
Pepenec ( Специалист ) |
| 28 апр 2017 15:20:50 |
Зафиксировано перенаправление трафика крупнейших финансовых сервисов через BGP
новая дискуссия Новость 541 Зафиксировано перенаправление трафика крупнейших финансовых сервисов через BGP
Проект BGPMon, выполняющий мониторинг изменения BGP-маршрутов, зафиксировал аномальное перенаправление значительной части трафика крупнейших финансовых сервисов, включая Visa, MasterCard и некоторых банков. Из-за внесения изменений в анонсируемые через BGP маршруты, значитеальная часть трафика ряда финансовых сервисов начала направляться в сеть Ростелекома. Трафик перенаправлялся в течение 5-7 минут, после чего маршрутизация нормализовалась.
Аномалия была вызвана добавлением в таблицы маршрутизации Ростелекома 50 префиксов автономных систем (37 уникальных AS), среди которых были подсети ряда крупных финансовых сервисов и банков, что привело к тому, что данные автономные системы были анонсированы по BGP как находящиеся в сети Ростелекома. Подобные инциденты, вызванные ошибками персонала, возникают в глобальной Сети регулярно и будут продолжаться, пока не будут внедрены методы авторизации BGP-анонсов (сейчас любой оператор может анонсировать подсеть с фиктивными сведениями о длине маршрута и инициировать транзит через себя части трафика от ближних систем, не применяющих фильтрацию анонсов).
В случае Ростелекома вопросы вызывает присутствие известных финансовых сервисов в списке перенаправленных сетей (случайные утечки обычно менее избирательны) и то, что характер префиксов свидетельствует о ручном изменений таблиц маршрутизации, а не типичной утечке анонсов по цепочке "BGP - OSPF - BGP"). Тем не менее, скорее всего проблема вызвана ошибкой в конфигурации, так как проведение столько заметной и грубой атаки по перехвату трафика маловероятно.
Но даже если была совершена ошибка, настораживает сам факт интереса инженеров Ростелекома к сетям финансовых сервисов (возможно, ошибка была совершена в ходе настройки внутреннего мониторинга/зеркалирования проходящего через Ростелеком трафика для всплывших автономных систем, как в своё время заворачивание в Пакистане подсетей YouTube на null-интерфейс привело к появлению этих подсетей в BGP анонсах и стеканию трафика YouTube в Пакистан). В случае получения доступа к транзитному трафику Visa и MasterCard дешифровка почти исключена, но имеется возможность изучить характер трафика и источники запросов, что может быть использовано для проведения целевых атак на менее защищённые партнёрские компании.
Подробнее тут
Отредактировано: Pepenec - 28 апр 2017 15:21:15
ОТВЕТЫ (5)
|
Emperor_of_Unvierse ( Слушатель ) |
| 28 апр 2017 16:27:39 |
Цитата: Pepenec от 28.04.2017 15:20:50
Вообще если вспомнить, что BGP был придуман изначально именно для того чтобы перенаправлять пути трафика, на который сегодня кстати натянуты и другие уровни виртуализации и абстракции, например MPLS, а анонсы как правило принимаются только с оглядкой на RIPE DB, потому-что криворуких админов даже в верхних сферах дорхера, то истерика выглядит натягиванием совы на глобус.
Если в BGPlay смотреть то там везде куча разных чудес постоянно происходит и сети сходятся и расходятся казалось бы на ровном месте чудными образами.
|
psevdo ( Слушатель ) |
| 28 апр 2017 18:23:16 |
Сообщение удалено
psevdo
28 апр 2017 23:00:54
psevdo
28 апр 2017 23:00:54
Отредактировано: psevdo - 28 апр 2017 23:00:54
|
|
Pepenec ( Специалист ) |
| 28 апр 2017 18:36:34 |
Сообщение удалено
Pepenec
28 апр 2017 22:45:56
Pepenec
28 апр 2017 22:45:56
Отредактировано: Pepenec - 28 апр 2017 22:45:56
|
k0t0b0i ( Слушатель ) |
| 28 апр 2017 22:19:46 |
Цитата: Pepenec от 28.04.2017 18:36:34
Не надо пересказывать бредни пропагандонов, тем более настолько безграмотные.
Сеть Интернет строена так, что трафик между любыми двумя точками может идти любыми маршрутами по технологическим сетям любых операторов связи. Для того, чтобы оператор связи мог решить, в чью технологическую сеть отправить трафик своего клиента, чтобы он быстрее добрался до получателя, используются протоколы синхронизации маршрутной информации, например, BGP. Если кто-то из операторов по ошибке или намеренно выдаст соседям неверную маршрутную информацию (как в данном случае), трафик может "завернуться" по более длинному пути, например (как в данном случае) через технологическую сеть этого оператора.
Поскольку это сеть Интернет, никаких "защищенных" каналов в ней нет по определению, и все платежные данные, предназначенные для передачи через интернет, финансовые организации обязаны были передавать зашифрованными, это требование всех платежных систем. Соответственно, изменение маршрута передачи таких данных по сети Интернет никогда, нигде и никем не считается инцидентом. Самое страшное, что может случиться - трафик "потеряется" (не дойдет до получателя), но и это - нормальный режим работы сети Интернет.
|
|
Арамис-зеро ( Слушатель ) |
| 29 апр 2017 13:53:24 |
Цитата: k0t0b0i от 28.04.2017 22:19:46
Для банков и других фин.организаций обычно используется vpu (vlan per user) - на каждый офис по своему логическому транспорту. И все эти vpu имеют статическую маршрутизацию! То, что трафик из виртуальных локалок вдруг стал маршрутизироваться протоколом bgp - это залёт провайдера.
По умолчанию такие транспорты считаются безопасными и далеко не всегда прикрываются шифрованными vpn-туннелями. Так что это действительно может быть результат диверсии для снифинга трафика
