В течение 12 часов часть сети Apple Engineering была захвачена российским «Ростелекомом»?
В течение чуть более 12 часов 26-27 июля сеть российского Ростелекома начала объявлять маршруты для части сети Apple. В результате интернет-пользователи в частях Интернета, пытающиеся подключиться к услугам Apple, могли быть перенаправлены в сеть Ростелеком. Похоже, Apple Engineering удалось уменьшить влияние, и в конце концов «Ростелеком» перестал рассылать ложные объявления о маршрутах. Однако это событие продемонстрировало, как Apple может дополнительно защитить свои сети с помощью авторизации маршрута происхождения (ROA).
Около 21:25 UTC 26 июля 2022 года сеть AS12389 Ростелекома начала объявлять 17.70.96.0/19. Этот префикс является частью блока Apple 17.0.0.0/8 ; обычно Apple объявляет только больший блок 17.0.0.0/9, а не более короткую длину префикса.
Когда маршруты, объявляемые сетью, не покрываются действующей авторизацией источника маршрута (ROA), единственная возможность во время перехвата маршрута — объявить более конкретные маршруты. Это именно то, что Apple Engineering сделала сегодня; узнав о взломе, он начал объявлять 17.70.96.0/21, чтобы направить трафик на AS714.
Данные RIPE RIS, полученные с помощью инструмента pybgpkit
Непонятно, что делал AS12389, так как он объявлял тот же префикс одновременно с AS prepend.
Данные RIPE RIS, полученные с помощью инструмента pybgpkit
В отсутствие каких-либо достоверных данных для фильтрации возможных попыток захвата маршрут, объявленный AS12389, был распространен по всему миру. Инцидент был обнаружен BGPstream.com (Cisco Works) и GRIP Internet Intel (GA Tech).
ССЫЛКА
ССЫЛКА
Apple, должно быть, тоже получила предупреждение. Какие бы методы смягчения они ни применяли, они не остановили объявление Ростелекома, и поэтому Apple объявила более конкретный маршрут. В соответствии с процессом выбора пути BGP в первую очередь предпочтение отдается наиболее длинному совпадающему маршруту. Длина префикса заменяет все другие атрибуты маршрута. Apple начала анонсировать 17.70.96.0/21 для направления трафика на AS714.
Первое объявление для 17.70.96.0/21 появилось около 02:41 UTC 27 июля — через 5 часов 16 минут после первого появления 17.70.96.0/19 от AS12389.
Тем временем AS12389 продолжал объявлять возможный захваченный маршрут в течение многих часов. Наконец, около 09:39 UTC 27 июля мы начали наблюдать отказы от маршрута 17.70.96.0/19, через 12 часов и 14 минут после его начала.
Неясно, какие службы пострадали от этого инцидента. Если мы не получим более подробную информацию от Apple или других исследователей, мы можем только догадываться.
Для сетевых операторов чрезвычайно важно внедрить эффективную фильтрацию маршрутов на основе поддающейся проверке информации о том, какие сети на законных основаниях уполномочены создавать какие номерные ресурсы (номера AS и префиксы IP).
Это то, для чего был разработан RPKI, важно иметь действительный объект Route/Route6, но в наши дни, когда многие крупные сетевые операторы выполняют проверку происхождения маршрута (ROV) и отбрасывают все маршруты с недействительными источниками, еще более важно иметь объект Route/Route6. действующая авторизация объекта маршрута (ROA) для всех ваших ресурсов.
К сожалению, AS12389 (Ростелеком) уже был частью нескольких инцидентов в прошлом, которые мы подробно освещали в предыдущих сообщениях блога .
Это может повториться в любой момент. Сетевые операторы несут ответственность за обеспечение глобальной надежной и безопасной инфраструктуры маршрутизации. Безопасность вашей сети зависит от инфраструктуры маршрутизации, которая останавливает злоумышленников и смягчает случайные неправильные настройки, которые наносят ущерб Интернету. Чем больше сетевых операторов будут работать вместе, тем меньше будет инцидентов и тем меньший ущерб они могут нанести.
Источник: https://www.manrs.org/2022/07/for-1...rings-network-hijacked-by-russias-rostelecom/
