Các điểm trao đổi Internet ( IXs ) là cơ sở hạ tầng quan trọng giúp các nhà cung cấp dịch vụ internet khác nhau kết nối và chia sẻ lưu lượng truy cập. Hãy nghĩ về chúng như những ngã tư kỹ thuật số nơi các đường cao tốc internet chính gặp nhau. Tuy nhiên, những phát hiện gần đây cho thấy rằng các trung tâm mạng quan trọng này đang gặp phải các vấn đề bảo mật nghiêm trọng do thiết bị cấu hình sai và các thiết bị bất ngờ xuất hiện trên những mạng lưới chỉ dành cho router.
 |
|---|
| Cận cảnh một cây cối trong tự nhiên, tượng trưng cho sự phức tạp và kết nối lẫn nhau của cơ sở hạ tầng mạng |
Các thiết bị bất ngờ xuất hiện trên mạng IX
Phát hiện đáng lo ngại nhất liên quan đến các thiết bị không phải router vô tình kết nối với mạng IX . Các sàn giao dịch này được thiết kế đặc biệt để các router chia sẻ thông tin định tuyến bằng giao thức Border Gateway Protocol ( BGP ). Tuy nhiên, các quản trị viên mạng đã phát hiện mọi thứ từ máy tính để bàn đến máy chủ xuất hiện trên các mạng quan trọng này do những sai lầm trong cấu hình.
Khi các tổ chức kết nối với IX , đôi khi họ vô tình nối mạng văn phòng nội bộ với cơ sở hạ tầng trao đổi. Điều này có thể xảy ra khi các định danh VLAN bị sử dụng lại hoặc khi thiết bị khắc phục sự cố bị để lại kết nối với phân đoạn mạng sai. Kết quả là các thiết bị nội bộ nhạy cảm trở nên hiển thị với tất cả những người tham gia khác trên sàn giao dịch.
VLAN (Virtual Local Area Network): Một phương pháp tạo ra các phân đoạn mạng riêng biệt trên cùng một cơ sở hạ tầng vật lý
Lỗ hổng giao thức định tuyến
Một mối quan tâm bảo mật lớn khác liên quan đến các giao thức định tuyến không bao giờ nên xuất hiện trên mạng IX . Trong khi BGP là giao thức tiêu chuẩn và được mong đợi, các nhà nghiên cứu đã phát hiện ra các giao thức định tuyến khác như OSPF , ISIS và RIP đang chạy trên các mạng trao đổi. Những giao thức này có thể cho phép các tác nhân độc hại thao túng bảng định tuyến và có khả năng chuyển hướng lưu lượng internet.
Tôi nhớ vào những năm 2000, một mạng lưới Telco khá lớn ở Mỹ đang chạy ospf trên một IX . Một vài người trong chúng tôi trên IRC đã thảo luận về khả năng này và một trong số chúng tôi đã thiết lập kết nối adjacency và nó đã hoạt động.
Sự hiện diện của các giao thức định tuyến nội bộ này có nghĩa là các nhà khai thác mạng có thể vô tình chia sẻ các quyết định định tuyến nội bộ của họ với các đối thủ cạnh tranh hoặc các tác nhân độc hại trên cùng một sàn giao dịch.
BGP (Border Gateway Protocol): Giao thức tiêu chuẩn được sử dụng bởi các nhà cung cấp dịch vụ internet để trao đổi thông tin định tuyến OSPF/ISIS: Các giao thức định tuyến nội bộ chỉ nên được sử dụng trong mạng của một tổ chức duy nhất
Các Giao thức Có Vấn đề Thường Gặp trên Mạng IX:
- OSPF/ISIS: Các giao thức định tuyến nội bộ có thể làm rò rỉ thông tin bảng định tuyến
- RIP/RIPng: Các giao thức định tuyến cũ với các biện pháp kiểm soát bảo mật tối thiểu
- LLDP: Giao thức khám phá mạng tiết lộ thông tin thiết bị
- STP: Các gói tin Spanning Tree Protocol không nên đi qua cơ sở hạ tầng IX
- SOME/IP: Giao thức mạng ô tô xuất hiện một cách không phù hợp
- ARP broadcasts: Các yêu cầu phân giải địa chỉ tạo ra lưu lượng không cần thiết
Lộ diện giao thức quản lý mạng
Các mạng IX cũng đang thấy lưu lượng quản lý mạng bất ngờ tiết lộ thông tin nhạy cảm về các tổ chức được kết nối. Các giao thức như LLDP (Link Layer Discovery Protocol) và Spanning Tree Protocol đang xuất hiện trên các sàn giao dịch, có khả năng lộ thông tin cấu trúc mạng cho các bên không được phép.
Mặc dù một số người cho rằng những giao thức này có thể hữu ích cho việc khắc phục sự cố mạng, nhưng sự hiện diện của chúng trên cơ sở hạ tầng IX công cộng tạo ra những rủi ro bảo mật không cần thiết. Mỗi giao thức bổ sung đại diện cho nhiều bề mặt tấn công tiềm năng hơn để các tác nhân độc hại khai thác.
Các Loại Rủi Ro Bảo Mật:
- Tiết Lộ Thông Tin: Cấu trúc mạng và sơ đồ địa chỉ nội bộ bị lộ
- Thao Tác Định Tuyến: Khả năng trái phép ảnh hưởng đến các quyết định định tuyến lưu lượng
- Chặn Bắt Lưu Lượng: Tiềm năng cho các tác nhân độc hại chuyển hướng lưu lượng mạng
- Tiêu Thụ Tài Nguyên: Các giao thức không cần thiết tiêu thụ tài nguyên hạ tầng IX
- Lộ Cấu Hình: Các thiết lập mạng nội bộ hiển thị với đối thủ cạnh tranh
Vấn đề về độ phức tạp
Nguyên nhân gốc rễ của nhiều vấn đề này dường như là sự phức tạp ngày càng tăng của cơ sở hạ tầng mạng hiện đại. Các tổ chức thường có nhiều lớp switch, router và các thiết bị mạng khác giữa cơ sở hạ tầng cốt lõi và kết nối IX . Sự phức tạp này khiến các lỗi cấu hình dễ xảy ra, đặc biệt khi các thay đổi mạng được thực hiện thủ công mà không có tài liệu phù hợp.
Cộng đồng mạng đã quan sát thấy rằng nhiều tổ chức có xu hướng thiết kế quá mức kiến trúc mạng của họ, tạo ra nhiều lớp NAT , các sơ đồ VLAN phức tạp và các kế hoạch địa chỉ tùy chỉnh làm tăng khả năng cấu hình sai.
Kết luận
Những phát hiện này nhấn mạnh nhu cầu về vệ sinh mạng tốt hơn và quản lý cấu hình tại các điểm trao đổi Internet . Trong khi IXs được thiết kế để trở thành các mạng layer-2 đơn giản nơi các router trao đổi thông tin BGP , thực tế thường phức tạp hơn nhiều. Các tổ chức kết nối với IXs cần triển khai các biện pháp kiểm soát tốt hơn để đảm bảo chỉ có lưu lượng phù hợp đến được cơ sở hạ tầng trao đổi, và các nhà khai thác IX nên xem xét việc lọc tích cực hơn để ngăn chặn các giao thức và thiết bị có vấn đề ảnh hưởng đến những người tham gia khác.
Bảo mật của cơ sở hạ tầng internet phụ thuộc vào việc tất cả những người tham gia tuân theo các thực hành tốt nhất và duy trì ranh giới mạng phù hợp. Khi các sàn giao dịch này xử lý lượng lưu lượng internet toàn cầu ngày càng tăng, việc giải quyết các vấn đề cấu hình này trở nên quan trọng để duy trì sự ổn định và bảo mật của internet.
Tham khảo: Even Interesting Stuff I Found on IX LANs