Cloudflare’in gizlilik odaklı genel DNS çözümleyici hizmeti, yakın zamanda eş zamanlı iki BGP sorunuyla karşı karşıya kaldı ve bunun sonucunda, 35 yıllık internet yönlendirme protokolünün güvenliği konusunda devam eden endişeleri gözler önüne seren istem dışı bir BGP ele geçirme olayı yaşandı.
27 Haziran’da birkaç saatliğine ücretsiz Cloudflare DNS çözümleyici hizmeti “1.1.1.1”i etkileyen kesinti ve yavaşlamalar internet trafiğinin yüzde 1’inden daha azını etkiledi, ancak sorunun 1989’da bir IETF toplantısında öğle tatilinde taslak haline getirildiği şekliyle “üç peçete protokolü” olarak adlandırılan BGP’ye yeni bir ilgi getirmesi muhtemel. FCC yakın zamanda İSS’lerin BGP güvenlik ilerlemeleri hakkında rapor vermelerini zorunlu kılmak için oy kullandı; bu, kesinleştirilmeden önce kamuoyunun yorum sürecinden geçecek bir ön oylama.
1.1.1.1 Hits Cloudflare DNS Çözümleyici Hizmetinin Tarihsel Kullanımı
Altı yıllık Cloudflare DNS çözümleyici hizmetini etkileyen bir sorun, laboratuvarlardaki ağlar veya test IP adresi olarak 1.1.1.1’in tarihsel kullanımıdır ve “bazı kalıntı beklenmeyen trafik veya kara deliğe alınmış yönlendirme davranışıyla sonuçlanır. Bu nedenle Cloudflare, BGP yanlış yönlendirilen trafiğin etkileriyle uğraşmaya yabancı değildir” diye yazdı Cloudflare mühendisleri olayları bildiren bir blog yazısında.
27 Haziran olayında, etkilenen bölgelerdeki kullanıcılar için hizmetin etkili bir şekilde durmasına yol açan bir yönlendirme ele geçirme işlemi ile bir BGP rota sızıntısı birleştirildi.
1.1.1.1 yönlendirme ele geçirmesi, örneğin bir ağ 1.1.1.1/32’yi yönlendiricilerinden birine atadığında ve öneki dahili ağlarıyla paylaştığında potansiyel olarak gerçekleşebilir, bu da müşterilerinin 1.1.1.1 DNS hizmetine yönlendirme yapmasını zorlaştırır. Mühendisler, “1.1.1.1/32 önekini yakın ağlarının dışında duyururlarsa, etki daha da büyük olabilir” diye yazdı.
Cloudflare tarafından kullanılan 1.1.1.0/24 yerine 1.1.1.1/32’nin seçilmesinin nedeninin En Uzun Önek Eşleşmesi (LPM) olduğunu söylediler. Bir rota tablosundaki birçok önek 1.1.1.1 adresiyle eşleşebilir, ancak 1.1.1.1/32, en yüksek sayıda özdeş bit ve en uzun alt ağ maskesine sahip olmasının yanı sıra 1.1.1.1 adresiyle de eşleştiği için LPM algoritması tarafından “en uzun eşleşme” olarak kabul edilir. Cloudflare, “Basit bir ifadeyle, 1.1.1.1/32’yi 1.1.1.1 için mevcut ‘en spesifik’ rota olarak adlandırırdık” dedi.
BGP rota sızıntıları, “bir ağ, BGP duyurusu açısından, bir ağ için bir yukarı akış sağlayıcısı olmaması gereken bir ağ için bir yukarı akış olduğunda meydana gelir. … Varsayılan Serbest Bölge (DFZ) içindeki yeterli sayıda ağ bir rota sızıntısını kabul ederse, bu, trafiği kötü yol boyunca iletmek için yaygın olarak kullanılabilir. Bu, genellikle önekleri sızdıran ağın aşırı yüklenmesine neden olur, çünkü şu anda çektikleri küresel trafik miktarına hazırlıklı değillerdir.”
Bu sorunlar herhangi bir IP adresi veya önekinin başına gelebilir, ancak Cloudflare’e göre 1.1.1.1 “o kadar tanınabilir ve tarihsel olarak kötüye kullanılmış bir adres ki, diğer IP kaynaklarına kıyasla kazara ele geçirilmelere veya sızıntılara daha yatkın olma eğilimindedir.”
Cloudflare 1.1.1.1 Hizmetine Ne Oldu
Cloudflare 1.1.1.1 olayı, AS267613’ün (Eletronet SA) 1.1.1.1/32’yi meslektaşlarına, sağlayıcılarına ve müşterilerine duyurmaya başlamasıyla başladı.
Bir dakika sonra, AS262504 (Nova), AS267613’ten alınan 1.1.1.0/24’ü, AS1031’e (PEER 1 Global Internet Exchange) sızdırdı; bu da 1.1.1.0/24’ü çeşitli Internet Exchange eşlerine ve rota sunucularına yaydı ve sızıntının etkisini artırdı.
1. kademe sağlayıcılardan biri, AS267613’ten Uzaktan Tetiklemeli Kara Delik (RTBH, DDoS saldırılarını engellemenin kaba bir yöntemi) yolu olarak 1.1.1.1/32 duyurusunu aldı ve bu, 1. kademenin tüm müşterileri için trafiğin kara deliğe girmesine neden oldu.
Tüm bunlar yaklaşık bir dakika içinde gerçekleşti. Cloudflare mühendisleri bir saatten biraz daha uzun bir süre sonra iki ortak eşleştirme noktasını devre dışı bırakarak ve Nova ve Eletronet ile etkileşime girerek yanıt verdi, ancak sorunlar başladıktan yaklaşık dört saat sonrasına kadar tamamen çözülmedi.
Mühendisler, “Bu olay sırasında sorun, AS267613’ün 1.1.1.1/32’yi kara deliğe sokma yetkisinin olmamasıydı,” diye yazdı. “Cloudflare, AS13335’e yönelik trafiğin atılması için RTBH’yi kullanma hakkına sahip olmalı, ki bu gerçekte asla yapmayacağımız bir şey.”
Cloudflare, AS1031’in “müşteri BGP oturumları için kapsamlı bir filtreleme gerçekleştirmediğini ve bunun yerine yalnızca bitişikliğe (bu durumda AS262504) göre eşleştiğini ve bu ölçütleri karşılayan her şeyi yeniden dağıttığını” söyledi. Ne yazık ki, bu AS1031’in sorumsuzluğudur ve 1.1.1.1’e ve potansiyel olarak korumasız rota yayılımının kurbanı olan diğer hizmetlere doğrudan etki eder. Orijinal sızdıran ağ AS262504 olsa da, AS1031 ve diğerleri tarafından ele geçirme veya sızıntıyı kabul edip duyuruları daha fazla dağıttıklarında etki büyük ölçüde artırıldı.”
Cloudflare’in BGP Güvenlik Önerileri
Cloudflare, özellikle büyük miktarda alt akış Otonom Sistemlere sahip büyük ağlar olmak üzere ağ sağlayıcıları için çeşitli BGP güvenlik önerileri sundu.
RPKI’nin Kabulü
Kaynak Genel Anahtar Altyapısı benimsenmesi “Route Origin Authorization (ROA) tarafından imzalanan önekler açısından %50 dağıtımda yakın zamanda önemli bir dönüm noktasına ulaştı,” diye yazdı Cloudflare mühendisleri. “RPKI, ele geçirilen bir BGP önekinin İnternet genelinde yayılmasını sınırlamaya kesinlikle yardımcı olsa da, tüm ağların, özellikle büyük miktarda alt akış Otonom Sistemi (AS) olan büyük ağların üzerlerine düşeni yapmaları gerekiyor. 1.1.1.1/32’nin ele geçirilmesi sırasında, birden fazla ağ, AS267613 tarafından duyurulan rotayı trafik yönlendirmesi için kabul etti ve kullandı.”
RPKI ve Uzaktan Tetiklemeli Kara Delik (RTBH)
Cloudflare, olaydan kaynaklanan etkinin önemli bir kısmının, 1. Kademe sağlayıcının Cloudflare olmayan bir üçüncü taraftan gelen 1.1.1.1/32’yi kara delik rotası olarak kabul etmesinden kaynaklandığını söyledi.
Cloudflare mühendisleri, “Bu kendi başına 1.1.1.1’in ele geçirilmesidir ve çok tehlikelidir,” dedi. “RTBH, büyük DDoS saldırılarına karşı bir hafifletme için çaresiz kalan birçok ağ tarafından kullanılan yararlı bir araçtır. Sorun, RTBH için kullanılan BGP filtrelemesinin doğası gereği gevşek olması ve genellikle yalnızca İnternet Yönlendirme Kayıtlarında bulunan AS-SET nesnelerine güvenmesidir. … AS-SET filtrelemesi, 1.1.1.1/32 gibi bir rotayı kara deliğe sokma yetkisini temsil etmez. Yalnızca Cloudflare, işletme haklarına sahip olduğu bir hedefi kara deliğe sokabilir.”
RTBH oturumlarında sağlayıcıların hoşgörülü filtrelenmesi için olası bir düzeltme yine bir RPKI’den yararlanmak olacaktır. Süresi dolmuş bir IETF taslak teklifi, yalnızca belirli kaynakları bir önek için kara delik eylemi yetkilendirmek üzere yetkilendirmek için kullanılacak bir Discard Origin Authorization (DOA) nesnesi belirtmiştir. Cloudflare, “Böyle bir nesne imzalanırsa ve RTBH istekleri nesneye karşı doğrulanırsa, AS267613 tarafından yapılan 1.1.1.1/32 yetkisiz kara delik girişimi, 1. Kademe sağlayıcı tarafından kabul edilmek yerine geçersiz olurdu” dedi.
BGP En İyi Uygulamaları
Cloudflare, Karşılıklı Olarak Kabul Edilen Yönlendirme Güvenliği Normları (MANRS) tarafından ortaya konulan BGP en iyi uygulamalarını takip etmenin ve Varsayılan Serbest Bölge’de (DFZ) /24’ten daha uzun olan IPv4 öneklerini reddetmenin 1.1.1.1’e olan etkiyi azaltacağını söyledi. “Geçersiz önek uzunluklarını daha geniş İnternet içinde reddetmek, tüm ağlar için standart bir BGP politikasının parçası olmalıdır.”
BGP için ASPA
Cloudflare, AS Path tabanlı rota sızıntısı önlemede RPKI’nin benimsenmesini savundu. IETF’de hala taslak aşamasında olan Otonom Sistem Sağlayıcı Yetkilendirmesi (ASPA) kapsamında, ASPA nesneleri ROA’lara benzerdir, ancak yetkili bir kaynak AS ile önekleri imzalamak yerine, AS’nin kendisi rotalarını yaymalarına izin verilen sağlayıcı ağlarının bir listesiyle imzalanır, dediler. “Bu nedenle, Cloudflare durumunda, yalnızca geçerli yukarı akış geçiş sağlayıcıları, 1.1.1.0/24 yukarı akış gibi AS13335 öneklerini duyurmak için yetkili olarak imzalanacaktır.”
Cloudflare BGP Rota Sızıntı Tespiti’ni Genişletiyor
Cloudflare, rota sızıntısı tespit sisteminin veri kaynaklarını daha fazla ağı kapsayacak şekilde genişletti ve “gelecekte benzer olaylara daha zamanında yanıt verebilmek için tespit sistemine gerçek zamanlı veriler dahil ediyor.”
Cloudflare, “Rota sızıntılarını çözmeye yönelik tüm yaklaşımlarda olduğu gibi, İnternet’teki ağ operatörleri arasında iş birliği, başarı için gereklidir” dedi. “Dış ağların eylemleri Cloudflare’in doğrudan kontrolü dışında olsa da, hem İnternet topluluğunda hem de Cloudflare’de etkiyi daha hızlı tespit etmek ve kullanıcılarımıza olan etkiyi azaltmak için her adımı atmayı amaçlıyoruz.”
Cloudflare ayrıca kullanıcıları, İSS’lerinin RPKI köken doğrulamasını zorunlu kılıp kılmadığını görmek için isbgpsafeyet.com adresini kontrol etmeye teşvik etti.