Jak zabezpieczyć infrastrukturę BGP — ochrona routingu internetowego

Dlaczego BGP jest krytyczny i podatny

Border Gateway Protocol (BGP) to protokół routingu łączący internet — decyduje, jaką drogą płynie ruch między sieciami. Problem: BGP został zaprojektowany w epoce zaufania i nie posiada wbudowanych mechanizmów weryfikacji. Każdy operator z sesją BGP może ogłosić dowolne prefiksy — i internet mu uwierzy. BGP hijacking pozwala na: przekierowanie ruchu przez sieć atakującego (przechwytywanie danych, MitM), odmowę usługi przez blackholing, kradzież adresów IP do rozsyłania spamu. W 2025 roku odnotowano ponad 14 000 incydentów BGP na świecie.

Rodzaje ataków na BGP

BGP hijacking (prefix hijacking)

Atakujący ogłasza cudze prefiksy IP jako swoje. Ruch przeznaczony dla ofiary trafia do atakującego. Może podsłuchiwać, modyfikować lub blokować ruch.

Route leak

Nieumyślne lub celowe propagowanie tras do niewłaściwych peerów. Może spowodować przekierowanie ruchu przez sieci o niewystarczającej przepustowości.

BGP session hijacking

Przejęcie sesji BGP między routerami przez TCP injection. Pozwala na manipulację tablicami routingu.

AS path manipulation

Fałszowanie ścieżki AS w ogłoszeniach BGP aby kierować ruch przez wybraną sieć.

Celowe ogłaszanie more-specific prefixes

Ogłoszenie bardziej specyficznych prefiksów (/25 vs /24) które zawsze wygrywają w selekcji BGP.

Metody zabezpieczenia BGP

1. RPKI (Resource Public Key Infrastructure) — kryptograficzna weryfikacja prawa do ogłaszania prefiksów. ROA (Route Origin Authorization) potwierdza, który AS może ogłaszać dany prefiks. Walidacja RPKI na routerach brzegowych odrzuca nieprawidłowe ogłoszenia.

2. BGP prefix filtering — filtrowanie ogłoszeń na podstawie IRR (Internet Routing Registry). Przyjmowanie tylko prefiksów zgodnych z zarejestrowanymi obiektami route.

3. MANRS (Mutually Agreed Norms for Routing Security) — zestaw praktyk bezpieczeństwa routingu: filtrowanie, anti-spoofing, koordynacja, walidacja globalna.

4. BGP session security — MD5/TCP-AO authentication sesji BGP, TTL security (GTSM), ograniczenie maksymalnej liczby prefiksów na sesję.

5. BGP monitoring — narzędzia RIPE RIS, BGPStream, własny monitoring ogłoszeń. Alerty na nieautoryzowane ogłoszenia naszych prefiksów.

6. BGP Flowspec — dynamiczne reguły filtrowania ruchu rozpropagowane przez BGP. Obrona DDoS na poziomie routingu.

7. Redundancja peeringowa — wiele sesji BGP z różnymi upstream providers zmniejsza wpływ pojedynczego hijacku.

Dobre praktyki wdrożenia

Skuteczne wdrożenie wymaga kilku kluczowych kroków:

1. Inwentaryzacja i ocena ryzyka — zidentyfikuj zasoby, zagrożenia i podatności w kontekście specyfiki Twojej organizacji.
2. Opracowanie polityk i procedur — udokumentuj wymagania, role i odpowiedzialności.
3. Wdrożenie zabezpieczeń technicznych — dobierz narzędzia i konfiguracje adekwatne do zidentyfikowanych ryzyk.
4. Szkolenia i świadomość — zaangażuj pracowników w ochronę bezpieczeństwa organizacji.
5. Monitoring i ciągłe doskonalenie — regularnie weryfikuj skuteczność i adaptuj zabezpieczenia do zmieniającego się krajobrazu zagrożeń.

Najczęściej zadawane pytania

Czym jest RPKI i czy powinien je wdrożyć każdy operator?

RPKI to system kryptograficznej weryfikacji ogłoszeń BGP. Tak — każdy operator powinien zarówno podpisać swoje prefiksy (ROA), jak i walidować otrzymywane ogłoszenia. To podstawa bezpieczeństwa routingu.

Jak wykryć BGP hijacking swoich prefiksów?

Monitoring RIPE RIS i BGPStream, alerty z looking glass serwerów, własne sondy pomiarowe. Narzędzia: BGPalerter, Kentik, ThousandEyes.

Czy BGP hijacking to częsty problem?

Bardzo. Ponad 14 000 incydentów BGP rocznie — od przypadkowych route leaks po celowe hijacki. Wdrożenie RPKI i filtrowania znacząco redukuje ryzyko.