Compañía Cloudflare sitio web , diseñado para llamar la atención sobre el problema de la filtración de rutas BGP incorrectas y la posibilidad de realizar ataques de redireccionamiento de tráfico utilizando el protocolo BGP. El sitio le permite verificar el uso de tecnología para filtrar rutas incorrectas por parte de los proveedores y evaluar la implementación del soporte RPKI.
Muchos operadores siguen expuestos a anuncios de subred BGP con información ficticia sobre la longitud de la ruta, enrutando el tráfico de tránsito a través de proveedores externos. Cada vez más, surgen casos de uso de BGP para ataques, durante los cuales los atacantes, al comprometer la infraestructura de los proveedores, organizan la redirección y la interceptación del tráfico para falsificar sitios específicos organizando un ataque MiTM para reemplazar las respuestas DNS.
La solución al problema es introducir un sistema de autorización para anuncios BGP basado en RPKI (Infraestructura de clave pública de recursos), que permite determinar si un anuncio BGP proviene del propietario de la red o no. Cuando se utiliza RPKI para sistemas autónomos y direcciones IP, se construye una cadena de confianza desde la IANA hasta los registradores regionales (RIR), y luego hasta los proveedores de servicios (LIR) y los usuarios finales, lo que permite a terceros verificar que el funcionamiento del recurso fue realizado por su propietario. Desafortunadamente, a pesar de los problemas, la mayoría de los proveedores aún no utilizan RPKI. El nuevo servicio Cloudflare le permite rastrear a los operadores problemáticos y llamar la atención del público sobre ellos.
Fuente: opennet.ru