SosyalKafa

İnternet Omurgasının Kırık Parçası Sonunda Düzeltilebilir

Sınır Geçit Protokolü’nü güvence altına alma çabaları, Google’dan aldığı büyük yardımın da dahil olmasıyla kritik bir ivme kazandı.

Bu bahar, Google ve Facebook gibi ağır topların hizmetleri, dünya çapındaki insanlar için bir saatten fazla bir süre aksak ya da erişilemez görünüyordu. Ancak bu, herhangi bir organizasyondaki bir bilgisayar korsanlığı veya hatta bir aksaklık değildi. Bu, internetin temel, evrensel yönlendirme sistemi olan “Sınır Geçit Protokolü”ndeki tasarım zayıflıklarından kaynaklanan son aksilikti. Şimdi, iyileştirmeler ve koruma önlemleri uygulayan yıllar süren yavaş ilerlemenin ardından, internet altyapısı ortaklarından oluşan bir koalisyon, SGP’yi daha güvenli hale getirme mücadelesinde nihayet bir dönemeci geçiyor.

Bugün, Yönlendirme Güvenliği için Karşılıklı Kabul Edilen Normlar (Mutually Agreed Norms for Routing Security) olarak bilinen grup, özellikle “içerik dağıtım ağları”na ve diğer bulut hizmetlerinin SGP’yi güçlendirmek için gereken filtreleri ve kriptografik kontrolleri benimsemesine yardımcı olmaya adanmış bir görev gücü duyuruyor. MANRS’nin ağ operatörleri için halihazırda görev güçleri oluşturduğu ve internet servis sağlayıcıları ile CDN’lerin birbirlerinin ağlarına veri aktardığı fiziksel donanım altyapısı olan “internet değişim noktaları” olarak bilinenler göz önüne alındığında, bu adım bazı açılardan marjinaldir. Ancak buluta gelen bu süreç, şimdiye kadar ulaşılması zor olan somut ilerlemeyi temsil ediyor.

MANRS proje lideri ve İnternet Topluluğu internet teknolojisi kıdemli yöneticisi Aftab Siddiqui, “MANRS’deki yaklaşık 600 toplam katılımcıyla, CDN ve bulut sağlayıcılarının coşkusu ve sıkı çalışmasının dünyadaki diğer ağ operatörlerini hepimiz için yönlendirme güvenliğini iyileştirmeye teşvik edeceğine inanıyoruz” diyor.

 

Bu altyapıya toplumsal bağımlılık oldukça büyük. -ROYAL HANSEN, GOOGLE CLOUD

 

SGP genellikle internet için bir GPS navigasyon hizmetine benzetilmektedir ve altyapı aktörlerinin karmaşık dijital topografya üzerinden veri gönderme ve alma rotalarını hızlı ve otomatik olarak belirlemesini sağlar. En sevdiğiniz GPS haritalama aracınız gibi, SGP’de de genellikle sorunlara neden olmayan, ancak bazen sizi büyük köprü trafiğine sokabilen gariplikler ve kusurlar vardır. Bu, internet servis sağlayıcıları gibi varlıklar “kötü bir yolun reklamını yaptığında”, internette gelişigüzel, kötü tavsiye edilen bir yolculukta ve çoğu zaman unutulmaya yüz tutmuş bir veri gönderdiklerinde olur. İşte o zaman web hizmetleri kapalı gibi görünmeye başlar. Ve bu SGP güvensizliğinden kaynaklanan riskler hizmet kesintileriyle sona ermiyor – bu zayıf yönler, müdahale için kontrol ettikleri ağlar üzerinden verileri yeniden yönlendirmek amacıyla kötü aktörler tarafından kasıtlı olarak da kullanılabilir. Bu uygulama “SGP korsanlığı” olarak bilinir ve casusluk ve veri hırsızlığı için Çin de dahil olmak üzere dünyanın dört bir yanındaki bilgisayar korsanları tarafından kullanılmaktadır.

Birkaç önde gelen CDN, SGP en iyi uygulamalarını ve korumalarını kendi sistemlerinde uygulama ve bunları başkalarına tanıtma konusunda halihazırda seslerini duyurdu. Örneğin Nisan ayındaki sözde rota sızıntısından sonra, Cloudflare düzenli web kullanıcılarına, internet servis sağlayıcılarının kriptografik rota kontrolleri ve filtreleri uygulayıp uygulamadığına dair fikir vermeyi amaçlayan “SGP Henüz Güvenli mi?” adlı bir araç tanıttı. Ve Çarşamba günü Google, MANRS ile kendi SGP altyapısını elden geçirme ve sektördeki kişileri aynısını yapmaya ikna etme çabalarına ilişkin bir güncelleme yayınladı.

Google ve Cloudflare gibi kuruluşlar, internetin genel sağlığı için bu değişikliği desteklemek için, ancak aynı zamanda kesintilere neden olan SGP rota sızıntılarının, sorunun gerçekte nereden kaynaklandığına bakılmaksızın onlara kötü bir şekilde yansıması nedeniyle giderek daha fazla motive oluyorlar. Bu türden büyük kuruluşlar, bu tür gönüllü, işbirliğine dayalı teknik değişikliklerin benimsenmesini sağlamak için anahtardır çünkü dünya çapındaki altyapı sağlayıcılarıyla ilişkileri vardır.

Google Cloud Güvenlik Mühendisliği Başkan Yardımcısı Royal Hansen, “Finansal hizmetlerde 20 yılımı büyük bankalar için siber güvenlik yaparak geçirdim, ancak iki yıldan biraz daha uzun bir süre önce Google’a katıldım çünkü bu altyapıya toplumsal bağımlılığın çok büyük olduğunu görmeye başlıyorsunuz” diyor. “Bir Google’daki gücüm, tek bir kuruluşta olacağından çok daha büyük olacaktı.”

MANRS’nin desteklediği ana SGP korumalarından biri, geçerliliğinin bir kanıtı olarak kriptografik olarak imzalanmış yolların genel bir veritabanı olan RPKI veya “Yönlendirme Ortak Anahtar Altyapısı”dır. RPKI’yi benimseyenler, sundukları rotaları yayınlar ve başkalarının rotalarını doğrulamak için veritabanını kontrol eder, ancak sistem yalnızca rota sızıntılarını ve kesintileri evrensel olarak benimseyerek ortadan kaldırabilir. Çok sayıda ISS veya diğer kuruluş bunu kullanmıyorsa, sağlayıcıların yine de imzasız, yani doğrulanmamış yolları kabul etmesi gerekecektir.

Ancak son iki yılda RPKI gerçek bir ivme kazandı ve şu anda AT&T, Telia, NTT ve Cogent gibi ISS’ler tarafından kullanılıyor. Pazartesi günü, Avrupa ağ hizmeti sağlayıcısı RETN, RPKI’yi uyguladığını duyurdu ve Kasım ayında Google, rotalarının yüzde 99’undan fazlası için RPKI kaydını tamamladı.

Google Cloud’da küresel ağdan sorumlu başkan yardımcısı Bikash Koley, “Tüm bunların uygulanmasına dahil olan epeyce çalışma var” diyor. “Ve tüm bu bilgilere sahip olduğunuzda, filtreler vb. biçiminde SGP politikalarınıza uygulamak için onu kullanmanın yollarını yaratmanız gerekir. Bu önemli mühendislik çalışmaları gerektirir ve eğer yanlış yaparsanız, kullanıcıları gerçekten önemli ölçüde etkileyebilirsiniz. MANRS ile bunu kuruluşlar için olabildiğince kolay hale getirmeye çalışıyoruz.”

Koley, rota filtrelerini ve RPKI’yi benimsemeye ve tanıtmaya ek olarak, Google’ın “eşleme portalı” aracılığıyla SGP güvenliğinin önemi konusunda farkındalık yarattığını söylüyor. Eşleme, web trafiğinin daha verimli ve istikrarlı bir şekilde akmasını sağlamak için iki ağ arasındaki bağlantıdır ve BGP yönlendirme bilgilerinin alışverişini içerir. Google’ın böylesine kapsamlı küresel eşleme ilişkilerine sahip olması nedeniyle, portal, şirkete esas olarak meslektaşlarına SGP en iyi uygulamaları konusunda nasıl bir dürtme sağlama fırsatı sunuyor. Google’a duyurdukları rotalara filtreleme ve başka güvenlik önlemleri uygulamıyorlarsa, şirket bunu işaretleyecektir. Önümüzdeki yılın başlarında portal, meslektaşlarına RPKI durumlarını da gösterecek. Ek olarak, 2020’nin başında Google, potansiyel olarak geçersiz yönlendirme bilgileriyle ilgili olarak meslektaşlarıyla iletişime geçmeye başladı. Ve şirket, şirketin sıfırdan başlamak yerine yerleşik bir yaklaşımı benimsemesini kolaylaştırmak için Google’ın rota filtrelemeyi nasıl uyguladığı hakkında bilgi yayınlamak için MANRS ile çalışıyor.

SGP korumalarının evrensel olarak benimsenmesi için yapılan itici güç sona ermemiş olsa da, son ivme, kesinti ve veri hırsızlığı riskini ortadan kaldırmanın veya en azından büyük ölçüde azaltmanın mümkün olacağına dair gerçek kanıtlar sunuyor.

Koley, “İnternette ortak bir farkındalık ve aciliyetin oluştuğunu hissediyorum” diyor. “Ve bu konuda kesinlikle çok hızlı ilerliyoruz çünkü buna ihtiyacımız var.”

 

Kaynak: https://www.wired.com/story/bgp-routing-manrs-google-fix/

 

Elif Çekingen

Elif Çekingen

Sosyal Medya Hesaplarımız

İçeriklerimize e-posta ile abone olabilirsiniz

Bu bloga abone olmak ve e-posta ile bildirimler almak için e-posta adresinizi girin.

Diğer 7.503 aboneye katılın

Sosyal Kafa 6. Sezon Tanıtım