A Oracle lançou uma ferramenta gratuita que mostra o desempenho dos IXPs (Internet Exchange Points), ou seja, serve para monitorar a segurança de roteamento da Internet ao filtrar informações incorretas ou mal-intencionadas de roteamento de tráfego que podem levar a grandes interrupções na Internet.
Entretanto, ele chega para ajudar um IXP a identificar e solucionar lacunas em seus recursos de filtragem de rotas, proporcionando ao público em geral uma visão do papel do IXP em manter a Internet segura.
Um IXP roteia o tráfego entre diferentes redes ISP. É um local físico que contém vários comutadores de rede que vinculam perfeitamente a rede de um provedor de serviços a outro.
Por que monitorar a segurança de roteamento da Internet?
Então, o novo IXP Filter Check da Oracle faz parte de uma ampla iniciativa chamada MANRS (Normas Mútuas de Acordo para Segurança de Roteamento), projetada para reforçar a segurança de roteamento da Internet.
No início deste ano, o tráfego pertencente aos principais clientes do Cloudflare acabou sendo roteado pela rede de uma pequena empresa na Pensilvânia.
A má orientação fez com que muitos sites na Cloudflare e vários outros provedores de serviços ficassem indisponíveis em grandes seções da Internet por cerca de duas horas.
Tais interrupções geralmente foram causadas por erros de configuração relativamente pequenos.
O tráfego do Google, por exemplo, foi mal direcionado porque um pequeno ISP nigeriano acidentalmente “anunciou” as informações de roteamento incorretas para vários IPs do Google. Daí, a China Telecom – um dos “pares” da rede de provedores de internet da Nigéria – aceitou as informações de roteamento incorretas e as propagou amplamente pela Internet.
No caso da Cloudflare, a desorientação resultou de um ISP na Pensilvânia cometendo mais ou menos o mesmo erro e, em seguida, a Verizon encaminhando as informações de roteamento incorretas para o resto da Internet. Como a Cloudflare colocou na época:
Isso era o equivalente ao Waze atravessar uma rodovia inteira por uma rua do bairro.
Pois, nem todos os erros de roteamento são o resultado de erros inocentes.
Surpreendentemente, nos últimos anos, os atacantes usaram ataques de redirecionamento para desviar o tráfego para fins maliciosos, incluindo vigilância, ataques distribuídos de negação de serviço e mineração de criptomoedas.
Das iniciativas e objetivos
De fato, a iniciativa MANRS da Internet Society foi projetada para solucionar os pontos fracos fundamentais na infra-estrutura de roteamento principal da Internet que tornaram esse desvio de tráfego quase catastroficamente fácil de executar ou executar.
Em um nível alto, visa garantir que os ISPs e IXPs tenham medidas para localizar e filtrar rapidamente informações incorretas de roteamento – e, igualmente importante, para impedir a propagação de rotas incorretas pela Internet.
Contudo, para ser membro do programa MANRS, os IXPs são obrigados a filtrar todos os anúncios de rota que recebem usando determinados padrões projetados para garantir a legitimidade das mensagens de roteamento.
O objetivo é garantir que qualquer informação de roteamento que não possa ser verificada corretamente – como sua origem – seja filtrada.
O IXP Filter Check da Oracle é um serviço de monitoramento – atualmente em vigor em cerca de 200 locais IXP – que basicamente verifica o desempenho de um IXP ao filtrar rotas incorretas e mal-intencionadas.
A visão do atual Diretor de Análise da Internet da Oracle
É um serviço gratuito que oferece análise de terceiros das rotas transmitidas pelo servidor de rota em um IXP, diz Doug Madory, atual Diretor de Análise da Internet da Oracle. O objetivo é relatar publicamente as mensagens inválidas transmitidas para ajudar o IXP a melhorar e também informar ao público como o IXP está se saindo, continua Madory.
O IXP Filter Check usa um mecanismo de filtragem semelhante ao que seria esperado de um IXP como membro da iniciativa MANRS.
Assim, a ferramenta Oracle executa as mesmas verificações das informações de roteamento que os mecanismos de filtragem do IXP, como garantir que as mensagens de roteamento tenham informações de origem e comprimento de prefixo adequados.
Se eles estão filtrando corretamente rotas inválidas, não devemos vê-las, diz Madory. Se o fizermos e denunciá-lo na ferramenta, isso significa que o administrador do servidor de rota deve revisar a filtragem [no local], complementa.
Além disso, segundo Madory, o IXP Filter Check é a primeira ferramenta a oferecer uma análise ao vivo e independente do comportamento dos servidores de rota nos IXPs em todo o mundo.
No entanto, ele estima que aproximadamente 1.000 entidades se rotulam atualmente como IXPs, embora muitas sejam relativamente pequenas ou operadas por uma única Telecom.
A guerra contra roteamento inseguro não será vencida por uma única tecnologia, observa Madory. Mas pode ser aprimorado ao longo do tempo com medidas como a filtragem de rotas, diz ele.
Fonte: Dark Reading