BGP hâlâ güvenli değil mi

 (isbgpsafeyet.com)
2 puan yazan GN⁺ 27 일 전 | 1 yorum | WhatsApp'ta paylaş
  • İnternetin temel yönlendirme protokolü olan BGP(Border Gateway Protocol), yol seçimi işlevini üstlenir ancak yerleşik bir güvenlik doğrulama işlevine sahip değildir
  • Bu nedenle hatalı yol bilgisi yayılırsa trafik kaçırma veya büyük çaplı kesintiler yaşanabilir; bunu önlemek için RPKI(Resource Public Key Infrastructure) devreye alınmıştır
  • RPKI, yolların gerçekliğini kriptografik olarak doğrular ve hatalı yolları invalid olarak değerlendirip engelleyebilir
  • Cloudflare, dünya çapındaki büyük ISP ve transit operatörlerinin RPKI kullanım durumunu izleyip yayımlıyor; bazı operatörler ise hâlâ unsafe durumda
  • Tüm büyük ağ operatörlerinin RPKI ve filtrelemeyi tam olarak devreye alması, internet yönlendirmesinin güvenli hâle gelmesi için gerekli

BGP hâlâ güvenli değil mi

  • Border Gateway Protocol(BGP), internetin “posta servisi” gibidir; verinin gidebileceği yollar arasından en uygun olanı seçme görevini üstlenir
  • Ancak yerleşik güvenlik özellikleri bulunmadığı için, hatalı yol bilgisi yayılırsa büyük internet kesintileri veya trafik kaçırma olayları yaşanabilir
  • Bunu çözmek için Resource Public Key Infrastructure(RPKI) adlı doğrulama yapısı devreye alındığında yolların gerçekliği doğrulanabilir
  • Birçok küresel ISP ve transit operatörü RPKI’yi devreye alıyor; Cloudflare da bunu takip edip yayımlıyor
  • İnternet yönlendirmesinin güvenli hâle gelmesi için tüm büyük ağ operatörlerinin RPKI’yi benimsemesi gerekiyor

En son güncellemeler

  • 3 Şubat 2026’da küresel Tier-1 transit operatörü Sparkle(AS6762), RPKI-invalid prefix’leri reddetmeye başladı
  • 1 Ekim 2025’te Slovakya’nın büyük transit operatörlerinden Energotel(AS31117), RPKI-invalid yol filtrelemeye başladı
  • 28 Ağustos 2025’te Kanada’nın büyük ISP’lerinden Bell Canada(AS577), ağı içinde RPKI-invalid yolları filtrelemeye başladı
  • 22 Şubat 2024’te Avrupa’nın en büyük ISP’lerinden biri olan Deutsche Telekom(AS3320), küresel ağında RPKI Origin Validation uygulamasını devreye aldı
  • 24 Ocak 2024’te ABD merkezli Verizon(AS701), ağ genelinde RPKI Origin Validation’ı tamamen yaygınlaştırdı

Büyük operatörlerin durumu

  • Cloudflare, 31 büyük operatörün RPKI imzalama ve filtreleme durumunu yayımlıyor
  • Lumen, Arelion, Cogent, NTT, Sparkle, Hurricane Electric, GTT, TATA, Zayo, Vodafone gibi başlıca transit operatörlerin tamamı safe durumda
  • Comcast, AT&T, Verizon, Deutsche Telekom, KPN, Swisscom, Bell Canada gibi büyük ISP’ler de imzalama ve filtrelemeyi tamamlamış durumda
  • Bazı operatörler (Google, IIJ, OCN, Vivacom vb.) yalnızca kısmen uygulama yaptığı için partially safe olarak sınıflandırılıyor
  • China Telecom, KT, SK Broadband, TurkTelekom, Vodafone DE, PLDT, IBM Cloud, OVH vb. ise hâlâ unsafe durumda

BGP kaçırma nedir

  • İnternet, binlerce otonom sistemden(AS) oluşan dağıtık bir ağ yapısıdır
  • Her düğüm, yalnızca kendisine doğrudan bağlı düğümlerden aldığı bilgiye göre yolu belirler
  • BGP kaçırma, kötü niyetli bir düğümün hatalı yol bilgisini yayarak trafiği ele geçirmesi anlamına gelir
  • Bir güvenlik protokolü olmadığında bu yanlış bilgi dünya geneline yayılabilir ve veriler yanlış yollara gönderilebilir
  • RPKI, kriptografik doğrulama sayesinde bu tür hatalı yolların geçersiz sayılmasını ve engellenmesini sağlar

RPKI’nin rolü

  • RPKI(Resource Public Key Infrastructure), yolları ve otonom sistemleri kriptografik olarak ilişkilendirip doğrulayan bir güvenlik çerçevesidir
  • 800 binden fazla internet yolunu elle doğrulamak imkânsız olduğundan, RPKI bu süreci otomatikleştirir
  • RPKI etkin olduğunda hatalı yol bilgisi yayılsa bile yönlendiriciler bunu invalid olarak değerlendirip reddeder
  • Cloudflare blogu, RPKI’nin çalışma mantığını ve dağıtım örneklerini ayrıntılı biçimde açıklıyor

BGP’nin güvenli olmamasının nedeni

  • Temelde BGP’nin içinde yerleşik bir güvenlik protokolü yoktur
  • Her otonom sistemin kendi başına hatalı yol filtreleme yapması gerekir
  • Route leak, yanlış yapılandırma veya kötü niyetli davranış nedeniyle ortaya çıkar ve internetin bir bölümünü erişilemez hâle getirebilir
  • BGP kaçırma, trafiği başka sistemlere yönlendirerek bilgi hırsızlığı veya dinlemeyi mümkün kılabilir
  • Güvenli yönlendirme için tüm AS’lerin yalnızca meşru yolları duyurması ve filtreleme yapması gerekir

Test yöntemi

  • Cloudflare, bir ISP’nin güvenli BGP uygulayıp uygulamadığını test etmeye yarayan bir özellik sunuyor
  • Meşru olmakla birlikte bilerek invalid olarak işaretlenmiş bir yolu duyuruyor ve kullanıcının ilgili web sitesine erişip erişemediğini kontrol ediyor
  • Erişim mümkünse bu, ilgili ISP’nin hatalı yolu kabul ettiği anlamına geliyor

Ek güvenlik çalışmaları

  • Ağ operatörleri ve geliştiriciler, güvenli olmayan yönlendirme protokollerini iyileştirmek için standartlaştırma çalışmaları yürütüyor
  • Cloudflare, MANRS(Mutually Agreed Norms for Routing Security) girişimine katılıyor
    • MANRS, yönlendirme altyapısını güçlendirmeye yönelik küresel bir topluluktur; üyeleri filtreleme mekanizmalarını uygulamayı kabul eder
  • Katılan operatör sayısı arttıkça internet genelindeki yönlendirme güvenliği seviyesi yükselir

Kullanıcıların yapabilecekleri

  • isbgpsafeyet.com sayfasını paylaşarak RPKI’nin gerekliliği konusunda farkındalık yaratabilirsiniz
  • Kendi ISP’nizden veya barındırma sağlayıcınızdan RPKI uygulamasını ve MANRS’ye katılımı talep edebilirsiniz
  • Büyük ISP’lerin RPKI’yi benimsemesi, internetin tamamının güvenli hâle gelmesi için gereklidir
  • Cloudflare, “internet güvenli hâle geldiğinde herkes kazançlı çıkar” mesajını vurguluyor

İlgili okumalar

1 yorum

 
GN⁺ 27 일 전
Hacker News görüşleri

  • RPKI, BGP’yi tamamen güvenli hale getirmez; sadece daha güvenli yapar
    BGP hijacking hâlâ mümkündür ve RPKI yalnızca prefix sahipliğini doğrular, yolun kendisini korumaz
    Saldırganlar yine de kurban AS’nin yolunda yer alıyormuş gibi davranıp trafiği ele geçirebilir
    Bunu çözmek için önerilen BGPSec’in pratikte dağıtımının zor olduğu değerlendiriliyor

    • BGP’nin güvenlik sorununu çözmenin bir yolu olarak Proof-Carrying Data öneriliyor
      Her mesajın doğru şekilde üretildiğine dair kriptografik bir kanıt içermesi yaklaşımıyla, ağın büyüklüğü ya da hop sayısından bağımsız olarak doğrulama süresi sabit kalıyor
      BGP’de gecikme kritik olmadığı ve protokol basit olduğu için bu yaklaşım gerçekçi olabilir
      Ayrıntılar için rot256.dev yazısına bakılabilir
      RPKI’ye yine ihtiyaç olur, ancak BGPSec gereksiz hale gelir
    • Şu anda bu sorunu hafifletmeye yönelik girişimlerden biri ASPA
      Daha gidilecek çok yol var ama önemli kurumlar sürece katılıyor
      IETF taslak bağlantısı
    • RPKI, prefix sahipliğinin doğrulanmasını mümkün kılıyor ama yol hâlâ güvene dayalı
      Sanki yalnızca doğrulaması kolay olan kısım güçlendirilmiş gibi
    • İdeal bir durum olarak ‘güvenli’ olmak mümkün değil
      Sonuçta tüm kriptografik sistemler insanların işlettiği registry’lere ya da kurumlara duyulan güvene dayanıyor
      RPKI hiç olmamasından iyidir ama “artık yeterince güvenli” şeklindeki yorumlar tehlikeli olabilir

  • Büyük ABD ISP’leri ve mobil operatörlerin bu özelliği desteklediği görülünce yaygınlığın epey yüksek olduğu düşünülüyor
    Ama buna ‘güvenli’ demek için kaç ISP’nin yeterli olduğu ve bölgesel farklar olup olmadığı merak ediliyor

    • Tüm büyük transit ISP’ler uygularsa yeterli olabilir
      RPKI dışı yollar transit üzerinden geçemezse doğal olarak anlamını yitirir
    • Gerçekte ‘unsafe’ olarak işaretlenen operatör sayısı 4’ten çok daha fazla, 254
      Tüm listeyi görmek için ‘Show all’a basmak gerekiyor
    • Birleşik Krallık’ta Sky kullanılıyor ve ‘unsafe’ olarak görünüyor
      Ülkeye ve operatör türüne göre filtrelenebilen bir tablo olsa iyi olurdu
    • T-Mobile USA için test sonucu aynı anda hem geçti hem kaldı gibi görünüyor, bu da kafa karıştırıyor
    • British Telecom, NTT Docomo, Vodafone Espana, Starlink, Rogers gibi büyük operatörler de ‘unsafe’ görünüyor
      Yalnızca 31’inin güvenli olması fazla iyimser bir tablo

  • Bunun Cloudflare’ın yaptığı bir site olması ironik
    2026’da interneti bozma ihtimali en yüksek aktörlerden biri olabilir

    • Günümüzde şirketlerin kendi çıkarlarına uygun yönde kamuoyu ikna kampanyaları yürütmesi sıradan bir durum
      RPKI kârlarına hizmet ediyorsa bunu ‘internet güvenliği için vazgeçilmez teknoloji’ diye pazarlarlar,
      kimlik doğrulama gerekiyorsa ‘çocukları koruma’yı öne çıkarırlar
      Bu tür pazarlama aşı, silah ve tütün endüstrilerinde de tekrar tekrar görüldü

  • RPKI artık sadece ROA’dan ibaret değil
    BGP hijacking, ilk ya da son hop dışında başka noktalarda da yaşanabilir
    Sitenin ASPA-invalid prefix’leri de test edecek şekilde güncellenmesi gerekiyor

  • Free SAS ISP ‘unsafe’ olarak işaretleniyor ama gerçek testte başarılı görünüyor
    valid.rpki.isbgpsafeyet.com geçerli prefix’i,
    invalid.rpki.isbgpsafeyet.com ise geçersiz prefix’i doğru şekilde işliyor

  • ISP tabloda unsafe görünüyor ama testte güvenli çıkıyor

    • Tablodaki son güncelleme 3 Şubat olduğu için, arada RPKI uygulanmış gibi görünüyor

  • Saldırganın trafiği kötü amaçlı siteye yönlendirdiğini gösteren grafik biraz yanıltıcı olabilir
    SSL sertifikası geçerli değilse tarayıcı engelleyeceğinden gerçek zarar sınırlı kalır
    Ancak hizmet engelleme saldırısı (DoS) amacıyla yine de kötüye kullanılabilir

    • Hedefi ele geçiren bir saldırgan, Let’s Encrypt gibi servislerle geçerli bir SSL sertifikası da alabilir

  • RPKI ve ASPA, diğer ağlardan gelebilecek saldırılara karşı daha fazla güvenlik sağlasa da registry bağımlılığını artırıyor
    Eğer bir ülke yaptırım alır ve registry erişimi engellenirse kayıtlarını güncelleyemez hale gelebilir

    • Aslında registry’ler eskiden beri numara tahsisini iptal edebiliyordu
      RPKI bunun sadece daha güçlü bir versiyonu oldu
      Sonuçta biz ağ kurmayı IANA’nın onayı altında yapıyoruz,
      bundan çıkmak için ASN ve IP tahsis sisteminin tamamen yeniden tasarlanması gerekir

  • BGP’nin gerçekten güvenli hale geleceği an, onu bırakıp SCION kullanmaya başladığımız zaman olabilir
    Ayrıntı için SCION wiki maddesine bakılabilir

    • Ancak SCION, ağ operatörleri arasında snake oil olarak görülüyor
      Tek üretici odaklı yapı, ASIC desteğinin olmaması, blockchain ve greenwashing gibi nedenlerle güven kaybetti
      İsviçre’de denemeler var ama sektör genelinde ciddiye alınmıyor
    • Gerçekten güvenli olmak için Yggdrasil gibi yeni bir yönlendirme mimarisine geçmek gerekir
      Yggdrasil projesine bakılabilir
    • Böyle bir geçişin neden hâlâ gerçekleşmediği merak ediliyor

  • RPKI, BGP’yi yalnızca biraz daha güvenli yapıyor; tam bir çözüm değil
    Bazı hijacking türlerini engelliyor ama hâlâ güvene dayalı bir sisteme geçici yama eklemekten ibaret