Сетевые магистральные технологии, используемые для маршрутизации трафика
больших корпоративных сетей, уязвимы для широкомасштабных атак. Этот вывод
сделали два эксперта, которые представили вчера соответствующие утилиты,
подтверждающие их точку зрения.
Продемонстрированные Энно Реем программы, которые он разработал совместно с
Даниэлем Менде, свидетельствуют о том, что атаки, возможность проведения которых
раньше считалась чисто теоретической, могут иметь самые неприятные практические
последствия.
Некоторые из представленных утилит нацелены на атаку технологии MPLS
(многопротокольная коммутация на основе признаков), которую провайдеры типа
Verizon, AT&T и Sprint используют для отделения трафика одних корпоративных
пользователей от других во время его передачи из одного географического региона
в другой. Утилита позволяет без труда перенаправлять такой трафик и подменять в
нем данные всем, кто имеет доступ к сети определенного провайдера.
Метод работает из-за того, что MPLS не имеет встроенного механизма защиты
целостности заголовков пакетов, определяющих, куда должен быть доставлен поток.
По словам Рея, обнаружить подмену абсолютно невозможно.
Еще несколько приложений нацелены на использование уязвимостей в протоколе
BGP (пограничный шлюзовый протокол). Помимо всего прочего, они позволяют
взламывать криптографические ключи MD5, используемые для предотвращения
манипуляции данными. Кроме этого можно прописывать в таблицы BGP
несанкционированные пути, что позволяет контролировать огромные объемы трафика.
Оставшиеся программы предназначены для использования вышеописанных дыр в
Ethernet. Все они находятся в свободном доступе.