Giriş
Cloudflare, IPv6 trafiğini etkileyen ve 25 dakika süren bir Border Gateway Protocol (BGP) yönlendirme sızıntısıyla ilgili detayları paylaştı. Bu olay, ağda ölçülebilir bir yoğunluk, paket kaybı ve yaklaşık 12 Gbps’lik kaybolan trafiğe neden oldu, bu da ağ güvenliği açısından kritik bir durumu temsil ediyor.
Saldırı Nasıl Çalışıyor?
BGP, verinin otonom sistemler (AS) aracılığıyla farklı ağlar arasında yönlendirilmesine yardımcı olan bir sistemdir. Bir BGP yönlendirme sızıntısı, bir otonom sistemin, bir ortak veya sağlayıcıdan öğrendiği rotaları başka bir ortak veya sağlayıcıya yanlış bir şekilde ilan etmesi durumunda gerçekleşir. Bu tür olaylar, trafiğin yanlış yönlere veya daha uzun, kararsız yollara yönlendirilmesine ve sonuç olarak;
- Yoğunluk sorunlarına
- Paket kaybına
- Suboptimal yolların kullanımına
neden olur. Bu durumda, belirli sağlayıcılardan yalnızca trafiği kabul eden güvenlik duvarı filtreleri kullanıldığında, bu trafik tamamen reddedilir.
Etkilenen Sistemler
Bu sızıntı, yalnızca Cloudflare müşterilerini değil, aynı zamanda dış ağları da etkilemiştir. Cloudflare, 22 Ocak tarihinde meydana gelen benzer bir olayda, Miami’de bazı ortaklardan aldığı rotaları yeniden dağıttığını belirtmiştir. Olayın nedeni, RFC 7908 tanımlarına göre, türleri 3 ve 4 olan yönlendirme sızıntılarının neden olduğu karışıklıklardır.
Çözüm ve Korunma
Cloudflare’in sızıntının kök sebebi, Bogotá IPv6 ön eklerini yaymaktan kaçınmak amacıyla yapılan bir politika değişikliği olmuştur. Belirli ön ek listelerinin kaldırılması, dışa aktarma politikasını aşırı derecede esnek hale getirerek, tüm iç (iBGP) IPv6 rotalarının kabul edilmesine ve dışarıya ilan edilmesine yol açmıştır.
Cloudflare, sorunu kısa süre içinde tespit etmiş, mühendisler konfigürasyonu manuel olarak geri almış ve otomasyonu durdurarak olumsuz etkileri 25 dakika içinde sona erdirmiştir. Gelecekte benzer sorunları önlemek amacıyla;
- Daha katı topluluk bazlı dışa aktarma korumaları
- Politika hataları için CI/CD kontrolleri
- Daha iyi erken tespit yöntemleri
- RFC 9234 doğrulamaları
- RPKI ASPA benimseme teşviki
gibi önlemler önerilmektedir.
Aksiyon
Bu olaydan ders alarak, ağ altyapınızı gözden geçirmeniz ve BGP ayarlarınızı gözden geçirmeniz önemlidir. Sistemlerinizi güvenlik güncellemeleri ile desteklemek, port kapatma veya filtreleme gibi önlemler almak, potansiyel sorunların önüne geçecektir. Ayrıca, otomatik yapılandırma ayarlarını incelemek ve sıkı kontrol mekanizmaları oluşturmak kritik bir öncelik olmalıdır.
