বিজিপি রুট লিক (BGP Route Leak) এবং প্রতিকারে সম্ভাব্য করণীয়
by CIRT Team
বিজিপি রুট লিক (BGP Route Leak) কি?
ইন্টারনেট ইঞ্জিনিয়ারিং টাস্ক ফোর্স (আইইটিএফ/ IETF) এর RFC 7908 মতে বিজিপি রুট লিক (BGP Route Leak) নিমক্ত ভাবে সংজ্ঞায়িত করা হয়েছেঃ
“The propagation of routing announcement(s) beyond their intended scope. That is, an announcement from an Autonomous System (AS) of a learned BGP route to another AS is in violation of the intended policies of the receiver, the sender, and/or one of the ASes along the preceding AS path.”
যদি এক আইএসপি(ISP) তাদের নিজদের এএস (AS) বরাদ্দকৃত আইপি অ্যাড্রেস ছাড়া অন্য কোন আইএসপির(ISP) অন্তর্গত/ বরাদ্দকৃত আইপি অ্যাড্রেস প্রেফিক্স গ্লোবাল ইন্টারনেট নেটওয়ার্কে প্রচার/ অ্যাডভার্টাইজমেন্ট করে তখন রুটলিক হতে পারে। বিজিপি ভুল কনফিগারেশন এর জন্যও রুটলিক হতে পারে।
রুটলিক হলে স্বাভাবিক রাউটিং ব্যাহত হয় যার প্রভাবে এক নেটওয়ার্কের ট্রাফিক অন্য নেটওয়ার্কে চলে যেতে পারে যা রাউটিং সমস্যা, খারাপ নেটওয়ার্ক পারফরমেন্স, নেটওয়ার্ক ডাউন বা ডিডস এর মতন ঘটনা ঘটতে পারে।
প্রতিকারে সম্ভাব্য করণীয়ঃ
১) যদি নেটওয়ার্কে রুট লিক পরিলক্ষিত হয়ে তবে আপস্ট্রিম আইএসপি (upstream ISPs) সাথে যোগাযোগ করতে হবে।
২) যেহেতু গ্লোবাল ইন্টারনেট নেটওয়ার্ক রুট টেবিল সবসময় নির্দিষ্ট প্রেফিক্সকে (specific prefix) অগ্রাধিকার দেয়, তাই Preferred routes Announce করতে হবে। Preferred routes Announce রুট লিক অন্যতম কার্যকরী উপায়।
৩) আইপি অ্যাড্রেস প্রেফিক্স এর উপর ভিত্তি করে DNS রেকর্ড সংশোধন করা যেতে পারে। এটি সময় সাপেক্ষ ব্যাপার।
৪) প্রতিরোধমূলক বাবস্থা হিসেবে অবশ্যই বিভিন্ন আঞ্চলিক ইন্টারনেট রেজিস্ট্রিতে (আরআইআর) রুট অরিজিন অথরিটিজেশন (ROA) প্রকাশ করতে হবে। আরপিকেআই(Resource Public Key Infrastructure (RPKI)) সিস্টেম নেটওয়ার্কে কার্যকরী করে অবৈধ প্রেফিক্সকে (invalid prefixes) ফিল্টার করে বাদ দিতে হবে। যথাযথ বিজিপি কনফিগারেশনের মাধ্যমে বিজিপি পিয়ার (BGP peer) এরসাথে প্রেফিক্স ফিল্টার প্রয়োগ করতে হবে। এবিষয়ে manrs.org এর best practices অনুসরণ করা যেতে পারে।
Reference:
- https://www.rfc-editor.org/rfc/rfc7908.html
- https://labs.apnic.net/?p=1170
- https://blog.thousandeyes.com/best-practices-combat-route-leaks-hijacks/
- https://bgpmon.net/
- https://www.manrs.org/
- https://www.manrs.org/isps/guide/filtering/
————————————————
দেবাশীষ পাল,
ইনফরমেশন সিকিউরিটি স্পেশালিস্ট,
বিজিডি ই-গভ সার্ট