Internet Exchange Points ( IXs ) adalah infrastruktur kritis yang membantu berbagai penyedia layanan internet terhubung dan berbagi lalu lintas. Bayangkan mereka sebagai persimpangan digital di mana jalan raya internet utama bertemu. Namun, temuan terbaru mengungkapkan bahwa pusat jaringan vital ini mengalami masalah keamanan serius akibat peralatan yang salah konfigurasi dan perangkat tak terduga yang muncul di jaringan yang seharusnya khusus untuk router.
 |
|---|
| Tampilan close-up dari sebuah tanaman di alam, melambangkan kompleksitas dan keterkaitan infrastruktur jaringan |
Perangkat Tak Terduga Muncul di Jaringan IX
Penemuan yang paling mengkhawatirkan melibatkan perangkat non-router yang secara tidak sengaja terhubung ke jaringan IX . Pertukaran ini dirancang khusus untuk router berbagi informasi routing menggunakan Border Gateway Protocol ( BGP ). Namun, administrator jaringan telah menemukan segala hal mulai dari komputer desktop hingga server yang muncul di jaringan kritis ini karena kesalahan konfigurasi.
Ketika organisasi terhubung ke IX , mereka terkadang secara tidak sengaja menjembatani jaringan kantor internal mereka dengan infrastruktur pertukaran. Hal ini dapat terjadi ketika pengidentifikasi VLAN digunakan kembali atau ketika peralatan troubleshooting dibiarkan terhubung ke segmen jaringan yang salah. Hasilnya adalah perangkat internal sensitif menjadi terlihat oleh semua peserta lain di pertukaran.
VLAN (Virtual Local Area Network): Metode untuk membuat segmen jaringan terpisah pada infrastruktur fisik yang sama
Kerentanan Protokol Routing
Kekhawatiran keamanan utama lainnya melibatkan protokol routing yang seharusnya tidak pernah muncul di jaringan IX . Sementara BGP adalah protokol standar dan yang diharapkan, peneliti telah menemukan protokol routing lain seperti OSPF , ISIS , dan RIP berjalan di jaringan pertukaran. Protokol ini dapat memungkinkan aktor jahat memanipulasi tabel routing dan berpotensi mengalihkan lalu lintas internet.
Saya ingat di tahun 2000-an sebuah jaringan Telco yang cukup besar di AS menjalankan ospf di IX . Beberapa dari kami di IRC melakukan what if? Dan salah satu dari kami membuat adjacency dan itu berhasil.
Kehadiran protokol routing internal ini berarti bahwa operator jaringan mungkin secara tidak sengaja membagikan keputusan routing internal mereka dengan pesaing atau aktor jahat di pertukaran yang sama.
BGP (Border Gateway Protocol): Protokol standar yang digunakan oleh penyedia layanan internet untuk bertukar informasi routing OSPF/ISIS: Protokol routing internal yang seharusnya hanya digunakan dalam jaringan organisasi tunggal
Protokol Bermasalah Umum yang Ditemukan pada Jaringan IX:
- OSPF/ISIS: Protokol routing internal yang dapat membocorkan informasi tabel routing
- RIP/RIPng: Protokol routing lama dengan kontrol keamanan minimal
- LLDP: Protokol penemuan jaringan yang mengungkap informasi perangkat
- STP: Paket Spanning Tree Protocol yang seharusnya tidak melewati infrastruktur IX
- SOME/IP: Protokol jaringan otomotif yang muncul secara tidak tepat
- ARP broadcasts: Permintaan resolusi alamat yang menciptakan lalu lintas tidak perlu
Paparan Protokol Manajemen Jaringan
Jaringan IX juga melihat lalu lintas manajemen jaringan tak terduga yang mengungkapkan informasi sensitif tentang organisasi yang terhubung. Protokol seperti LLDP (Link Layer Discovery Protocol) dan Spanning Tree Protocol muncul di pertukaran, berpotensi mengekspos informasi topologi jaringan kepada pihak yang tidak berwenang.
Meskipun beberapa pihak berargumen bahwa protokol ini dapat membantu untuk troubleshooting jaringan, kehadiran mereka di infrastruktur IX publik menciptakan risiko keamanan yang tidak perlu. Setiap protokol tambahan mewakili lebih banyak potensi permukaan serangan untuk dieksploitasi oleh aktor jahat.
Kategori Risiko Keamanan:
- Pengungkapan Informasi: Topologi jaringan dan skema pengalamatan internal terekspos
- Manipulasi Routing: Kemampuan tidak sah untuk memengaruhi keputusan routing lalu lintas
- Intersepsi Lalu Lintas: Potensi aktor jahat untuk mengalihkan lalu lintas jaringan
- Konsumsi Sumber Daya: Protokol yang tidak perlu mengonsumsi sumber daya infrastruktur IX
- Eksposur Konfigurasi: Pengaturan jaringan internal terlihat oleh pesaing
Masalah Kompleksitas
Akar penyebab dari banyak masalah ini tampaknya adalah meningkatnya kompleksitas infrastruktur jaringan modern. Organisasi sering memiliki beberapa lapisan switch, router, dan perangkat jaringan lainnya antara infrastruktur inti mereka dan koneksi IX . Kompleksitas ini memudahkan terjadinya kesalahan konfigurasi, terutama ketika perubahan jaringan dilakukan secara manual tanpa dokumentasi yang tepat.
Komunitas jaringan telah mengamati bahwa banyak organisasi cenderung over-engineer arsitektur jaringan mereka, menciptakan beberapa lapisan NAT , skema VLAN yang kompleks, dan rencana pengalamatan khusus yang meningkatkan kemungkinan miskonfigurasi.
Kesimpulan
Temuan ini menyoroti perlunya kebersihan jaringan yang lebih baik dan manajemen konfigurasi di Internet Exchange Points . Sementara IXs dirancang untuk menjadi jaringan layer-2 sederhana di mana router bertukar informasi BGP , kenyataannya sering kali jauh lebih kompleks. Organisasi yang terhubung ke IXs perlu mengimplementasikan kontrol yang lebih baik untuk memastikan hanya lalu lintas yang sesuai yang mencapai infrastruktur pertukaran, dan operator IX harus mempertimbangkan penyaringan yang lebih agresif untuk mencegah protokol dan perangkat bermasalah mempengaruhi peserta lain.
Keamanan infrastruktur internet bergantung pada semua peserta yang mengikuti praktik terbaik dan mempertahankan batas jaringan yang tepat. Karena pertukaran ini menangani peningkatan jumlah lalu lintas internet global, mengatasi masalah konfigurasi ini menjadi kritis untuk mempertahankan stabilitas dan keamanan internet.
Referensi: Even Interesting Stuff I Found on IX LANs