Internet Exchange Points ( IXs ) merupakan infrastruktur kritikal yang membantu penyedia perkhidmatan internet yang berbeza untuk berhubung dan berkongsi trafik. Bayangkan ia sebagai persimpangan digital di mana lebuh raya internet utama bertemu. Walau bagaimanapun, penemuan terkini mendedahkan bahawa hab rangkaian penting ini mengalami isu keselamatan yang serius akibat peralatan yang salah konfigurasi dan peranti yang tidak dijangka muncul pada rangkaian yang sepatutnya hanya untuk penghala.
 |
|---|
| Pandangan dekat sebuah tumbuhan di alam semula jadi, melambangkan kerumitan dan keterkaitan infrastruktur rangkaian |
Peranti Tidak Dijangka Muncul pada Rangkaian IX
Penemuan yang paling membimbangkan melibatkan peranti bukan penghala yang secara tidak sengaja berhubung ke rangkaian IX . Pertukaran ini direka khusus untuk penghala berkongsi maklumat penghalaan menggunakan Border Gateway Protocol ( BGP ). Walau bagaimanapun, pentadbir rangkaian telah menemui segala-galanya daripada komputer desktop hingga pelayan muncul pada rangkaian kritikal ini akibat kesilapan konfigurasi.
Apabila organisasi berhubung ke IX , mereka kadang-kadang secara tidak sengaja menjambatani rangkaian pejabat dalaman mereka dengan infrastruktur pertukaran. Ini boleh berlaku apabila pengecam VLAN digunakan semula atau apabila peralatan penyelesaian masalah dibiarkan berhubung ke segmen rangkaian yang salah. Hasilnya ialah peranti dalaman yang sensitif menjadi kelihatan kepada semua peserta lain di pertukaran.
VLAN (Virtual Local Area Network): Kaedah mencipta segmen rangkaian berasingan pada infrastruktur fizikal yang sama
Kelemahan Protokol Penghalaan
Satu lagi kebimbangan keselamatan utama melibatkan protokol penghalaan yang tidak sepatutnya muncul pada rangkaian IX . Walaupun BGP adalah protokol standard dan dijangka, penyelidik telah menemui protokol penghalaan lain seperti OSPF , ISIS , dan RIP berjalan pada rangkaian pertukaran. Protokol ini boleh membenarkan pelaku berniat jahat memanipulasi jadual penghalaan dan berpotensi mengalihkan trafik internet.
Saya ingat pada tahun 2000-an sebuah rangkaian Telco yang agak besar di AS menjalankan ospf pada IX . Beberapa daripada kami di IRC melakukan what if? Dan salah seorang daripada kami membangkitkan adjacency dan ia berjaya.
Kehadiran protokol penghalaan dalaman ini bermakna pengendali rangkaian mungkin secara tidak sengaja berkongsi keputusan penghalaan dalaman mereka dengan pesaing atau pelaku berniat jahat pada pertukaran yang sama.
BGP (Border Gateway Protocol): Protokol standard yang digunakan oleh penyedia perkhidmatan internet untuk bertukar maklumat penghalaan OSPF/ISIS: Protokol penghalaan dalaman yang sepatutnya hanya digunakan dalam rangkaian organisasi tunggal
Protokol Bermasalah Biasa yang Ditemui pada Rangkaian IX:
- OSPF/ISIS: Protokol penghalaan dalaman yang boleh membocorkan maklumat jadual penghalaan
- RIP/RIPng: Protokol penghalaan lama dengan kawalan keselamatan yang minimum
- LLDP: Protokol penemuan rangkaian yang mendedahkan maklumat peranti
- STP: Paket Protokol Spanning Tree yang tidak sepatutnya melalui infrastruktur IX
- SOME/IP: Protokol rangkaian automotif yang muncul secara tidak sesuai
- Siaran ARP: Permintaan resolusi alamat yang mewujudkan trafik yang tidak perlu
Pendedahan Protokol Pengurusan Rangkaian
Rangkaian IX juga melihat trafik pengurusan rangkaian yang tidak dijangka yang mendedahkan maklumat sensitif tentang organisasi yang berhubung. Protokol seperti LLDP (Link Layer Discovery Protocol) dan Spanning Tree Protocol muncul pada pertukaran, berpotensi mendedahkan maklumat topologi rangkaian kepada pihak yang tidak dibenarkan.
Walaupun ada yang berpendapat protokol ini boleh membantu untuk penyelesaian masalah rangkaian, kehadiran mereka pada infrastruktur IX awam mewujudkan risiko keselamatan yang tidak perlu. Setiap protokol tambahan mewakili lebih banyak permukaan serangan berpotensi untuk dieksploitasi oleh pelaku berniat jahat.
Kategori Risiko Keselamatan:
- Pendedahan Maklumat: Topologi rangkaian dan skema pengalamatan dalaman terdedah
- Manipulasi Penghalaan: Keupayaan tanpa kebenaran untuk mempengaruhi keputusan penghalaan trafik
- Pemintasan Trafik: Potensi untuk pelakon berniat jahat mengalihkan trafik rangkaian
- Penggunaan Sumber: Protokol yang tidak perlu menggunakan sumber infrastruktur IX
- Pendedahan Konfigurasi: Tetapan rangkaian dalaman dapat dilihat oleh pesaing
Masalah Kerumitan
Punca utama banyak isu ini nampaknya adalah kerumitan yang semakin meningkat dalam infrastruktur rangkaian moden. Organisasi sering mempunyai pelbagai lapisan suis, penghala, dan peranti rangkaian lain antara infrastruktur teras mereka dan sambungan IX . Kerumitan ini memudahkan kesilapan konfigurasi berlaku, terutamanya apabila perubahan rangkaian dibuat secara manual tanpa dokumentasi yang betul.
Komuniti rangkaian telah memerhatikan bahawa banyak organisasi cenderung untuk over-engineer seni bina rangkaian mereka, mewujudkan pelbagai lapisan NAT , skim VLAN yang kompleks, dan pelan pengalamatan tersuai yang meningkatkan kemungkinan salah konfigurasi.
Kesimpulan
Penemuan ini menyerlahkan keperluan untuk kebersihan rangkaian yang lebih baik dan pengurusan konfigurasi di Internet Exchange Points . Walaupun IXs direka untuk menjadi rangkaian lapisan-2 yang mudah di mana penghala bertukar maklumat BGP , realitinya selalunya jauh lebih kompleks. Organisasi yang berhubung ke IXs perlu melaksanakan kawalan yang lebih baik untuk memastikan hanya trafik yang sesuai sampai ke infrastruktur pertukaran, dan pengendali IX harus mempertimbangkan penapisan yang lebih agresif untuk mencegah protokol dan peranti bermasalah daripada menjejaskan peserta lain.
Keselamatan infrastruktur internet bergantung kepada semua peserta mengikuti amalan terbaik dan mengekalkan sempadan rangkaian yang betul. Memandangkan pertukaran ini mengendalikan jumlah trafik internet global yang semakin meningkat, menangani isu konfigurasi ini menjadi kritikal untuk mengekalkan kestabilan dan keselamatan internet.