Передача соседям неверной информации о маршрутизации в Интернете – не просто плохие манеры, это может пагубно отразиться на ведении бизнеса.
Для того чтобы исключить подобные риски, в Internet Society (ISOC) обратились к точкам обмена интернет-трафиком (internet exchange point, IXP) с призывом устранить наиболее общие угрозы в системе маршрутизации Интернета.
Положительное решение этого вопроса станет хорошей новостью для интернет-провайдеров и их клиентов, которые окажутся в выигрыше, получив более устойчивый и безопасный доступ.
В 2016 году ISOC пригласила операторов присоединиться к инициативе MANRS (Mutually Agreed Norms for Routing Security), и более 50 из них уже сделали это.
Теперь же в ISOC призывает последовать их примеру точки обмена трафиком. Это поможет уменьшить число сбоев маршрутизации и инцидентов, связанных с перехватом и утечками трафика, его подменой и крупномасштабными DoS-атаками, которые приводят к краже данных, потере доходов и ущербу для репутации компаний. В прошлом году было совершено 14 тыс. атак подобного рода.
«Нарушения безопасности определяются тремя факторами, которые пытается устранить MANRS, – указал менеджер технологических программ ISOC Андрей Робачевский. – К ним относятся перехват маршрутов (route hijacking), утечки маршрутов (route leaks) и подмена IP-адресов (IP address spoofing). Последний фактор делает возможным многократное усиление или повторение DDoS-атак«.
IXP — ключевое звено, потому что серверы маршрутизации, которыми они управляют, могут распространять ошибки маршрутизации между региональными поставщиками интернет-услуг, оказывая быстрое воздействие на множество интернет-пользователей – как индивидуальных, так и корпоративных.
Фильтрация клиентских объявлений получает на IXP все более широкое распространение, но одноранговые отношения фильтрация, как правило, не затрагивает.
»По большей части это является вопросом масштабируемости, – указал Робачевский. – В то же время ошибки при передаче некорректных префиксов одноранговому узлу усиливаются другими аналогичными узлами, особенно если используется сервер маршрутизации. Это может привести к масштабным перебоям в сети".
Если в IXP реализована фильтрация, серверы маршрутизации из простого инструмента масштабируемости превращаются в новый рубеж безопасности.
Для участия в программе MANRS точкам обмена трафиком необходимо взять на себя обязательство предотвращения распространения некорректной маршрутизирующей информации, продвижения MANRS среди своих членов и реализации одного из трех других действий: защиты одноранговой платформы, упрощения глобального операционного взаимодействия между сетевыми операторами и предоставления своим членам инструментов для мониторинга и отладки.
Пока к программе присоединилось десять участников:
- DE-CIX, Франкфурт, Германия;
- MSK-IX, Россия;
- Netnod, Швеция;
- TorIX (Toronto Internet Exchange Community), Канада;
- CABASE, Аргентина;
- INEX (Internet Neutral Exchange Association), Дублин, Ирландия;
- CRIX, Коста-Рика;
- RINEX (Rwanda Internet Exchange), Руанда;
- YYCIX, Калгари, Канада;
а также Asteroid International, организация, отвечающая за обслуживание точек обмена трафиком, Амстердам, Голландия.
По оценкам PeeringDB.com, в мире насчитывается 614 IXP, так что MANRS имеет возможность охватить их все, но в лице DE-CIX, MSK-IX и Netnod инициативой уже затронуты крупнейшие точки обмена интернет-трафиком в мире.
Запуск программы участия IXP является позитивным фактором для инициативы MANRS. Ранее в ISOC были вынуждены пересмотреть свои планы в отношении вовлечения интернет-провайдеров в сторону уменьшения. Сейчас к концу 2018 года планируется охватить 100 из них, тогда как осенью прошлого года в планах значилось 150.
Мотивация провайдеров отличается от мотивации IXP. Безопасность их сетей зависит от действий других участников, так что, занимаясь реализацией MANSR, они вносят свой вклад в безопасность других, не имея прямой выгоды для себя лично.