Dünya üzerinde 200’den fazla ülke internet erişimine sahip. İnternet ağlarını kontrol etmek, verileri doğru bir şekilde transfer edebilmek için kullanılan birçok karmaşık yapı var. BGP ise önemli bir internet yönlendirme protokolü olarak karşımıza çıkıyor. Tıpkı fiziki posta hizmetleri gibi, BGP de internet trafiğinde işleri yoluna koymak için en verimli rotaları seçiyor. Şimdi BGP tekniğine detaylarıyla göz atalım.
BGP Nedir?
Border Gateway Protocol (Sınır Ağ Geçidi Protokolü-BGP), internet tabanlı bir elektronik ileti hizmeti olarak kullanılıyor. Günümüzde kullanılmaya devam eden kullanılan fiziki posta servisi üzerinden örnek verecek olursak; posta servisi (PTT gibi) gönderilen mektubu alıcısına ulaştırmak için hızlı ve verimli bir rota seçer. Benzer şekilde, birisi internet üzerinden veri gönderdiğinde, BGP verinin gidebileceği tüm mevcut yolları kontrol eder ve genellikle otonom sistemler arasında geçiş yaparak en iyi rotayı seçmekle sorumludur.
BGP, veri yönlendirmesini sağlayarak internetin çalışmasını sağlayan protokoldür. Türkiye’deki bir kullanıcı kaynağı Arjantin’de bulunan bir web sitesine yüklediğinde, BGP teknolojisi iletişimin hızlı ve verimli şekilde gerçekleşmesi için görev yapıyor.
Otonom Sistem Nedir?
İnternet, sayısız ağdan oluşan genel bir ağ ekosistemidir. Otonom sistemler olarak bilinen yüz binlerce küçük ağa bölünmüştür. Bu ağların her biri aslında tek bir kuruluş tarafından işletilen büyük bir yönlendirici havuzudur.
Bu noktada BGP’yi internet ağının posta servisi olarak düşünebiliriz. Otonom sistemler bireysel postane şubeleri gibidir. Bir kasabada yüzlerce posta kutusu olabilir, ancak bu kutulardaki postaların başka bir hedefe yönlendirilmeden önce yerel posta şubesinden geçmesi gerekir. Otonom sistem içindeki dahili yönlendiriciler posta kutuları gibidir. Giden veriler bu sistemlere iletilir, otonom sistemler de bu iletileri hedeflerine ulaştırmak için BGP yönlendirmesini kullanır.
Aşağıdaki diyagram BGP’nin basitleştirilmiş bir versiyonunu gösteriyor. Görselde internet üzerindeki altı ayrı otonom sistem gösterilmiş. AS1’in (otonom sistem 1-autonomous system 1) bir paketi AS3’e yönlendirmesi gerekiyorsa iki farklı seçenek var:
- AS2’ye ve ardından AS3’e geçmek: AS2 → AS3
- Diğer bir yol ise AS6, ardından AS5’e, AS4’e ve son olarak AS3’e geçiş: AS6 → AS5 → AS4 → AS3
Bu modele göre AS2 rotası AS6 rotasına göre daha hızlı. Yani bu yol kullanıldığında işler daha verimli yürütülecek. Şimdi yüz binlerce otonom sistem olduğunu ve geçiş sayısının karmaşık bir rota seçim algoritmasının yalnızca bir parçası olduğunu hayal edin. Yani burada farklı bir tabirle internet üzerinden BGP yönlendirmesinden bahsediyoruz.
İnternetin yapısı sürekli değişmekte, yeni sistemler ortaya çıkmakta ve mevcut sistemler kullanılamaz hale gelmekte. Nitekim her sistemin yeni rotaların yanı sıra eski rotalara ait ilgili bilgilerle de güncel tutulması gerekiyor. Bu süreç, her otonom sistemin yönlendirme bilgilerini paylaşmak amacıyla bir TCP/IP bağlantısıyla komşu sistemlere bağlandığı eşleştirme oturumları aracılığıyla yapılıyor. Sonuç olarak her sistem kendi içinden gelen giden veri iletimlerini doğru bir şekilde yönlendirecek donanıma sahip hale geliyor.
Posta şubelerinin aksine, otonom sistemlerin hepsi aynı organizasyonun parçası değil. Hatta genellikle rakip işletmelere aitler. Bu nedenle, BGP rotalar söz konusu olduğunda ticari hususlar da önemli. Otonom sistemler genellikle ağ üzerinden veri transferi için birbirlerinden ücret alıyorlar.
BGP Otonom Sistemlerini Kim İşletiyor?
Otonom sistemler çoğunlukla internet servis sağlayıcılarına (ISS’ler), bunun dışında teknoloji şirketleri, üniversiteler, devlet kurumları ve bilimsel kurumlar gibi diğer büyük kuruluşlara ait. Yönlendirme bilgisi alışverişi yapmak isteyen her sistemin kayıtlı bir otonom sistem numarasına (ASN) sahip olması gerekiyor.
İnternet Tahsisli Numara Yetkilisi (Internet Assigned Numbers Authority-IANA), otonom sistem numaralarını (ASN) Bölgesel İnternet Kayıt Merkezleri’ne (Regional Internet Registries-RIR) atamakta. Onlar da bunları internet servis sağlayıcılara ve ağlara tahsis ediyor. ASN’ler 1 ile 65534 arasında 16 bitlik sayılar ve 131072 ile 4294967294 arasında 32 bitlik sayılardan meydana gelmekte. 2018 itibarıyla dünya çapında kullanımda olan yaklaşık 64.000 ASN bulunuyor ve bu ASN’ler yalnızca harici BGP için gerekli.
Harici BGP ile Dahili BGP Arasındaki Fark Ne?
Yönlendirmeler değiş tokuş edilirken trafikteki veriler harici BGP (eBGP) kullanılarak internet üzerinden iletilir. Otonom sistemler, dahili BGP (iBGP) olarak bilinen dahili ağlar üzerinden yönlendirme yapmak için BGP’nin dahili bir sürümünü de kullanabilir. Dahili BGP kullanmanın harici BGP kullanmak için bir gereklilik olmadığını belirtmekte fayda var. Bu sistemler, iç ağlarındaki yönlendiricileri bağlamak için bir dizi dahili protokol arasından seçim yapabilirler.
Harici BGP uluslararası nakliye hizmeti gibidir. Bir postayı farklı bir ülkeye gönderirken uyulması gereken belirli standartlar ve yönergeler vardır. Posta hedef ülkeye vardığında, nihai hedef noktasına ulaştırılmak üzere ülkenin yerel posta hizmetinin eline geçmeli. Her ülkenin kendi iç posta servisi bulunuyor ve bu servisin kuralları ülkeye göre değişiklik gösterebilir. Benzer şekilde, her otonom sistem kendi ağı içinde veri yönlendirmek için kendi dahili yönlendirme protokolüne sahip olabilir.
BGP Hizmetinin Kusurları
Bildiğiniz gibi, marka birleşmesi ile tüzel kişilikler korunarak Avea ve TTNET markaları Türk Telekom olarak güncellenmişti. Eski adıyla TTNET, 2004 yılında komşu ülkelere yanlışlıkla hatalı BGP rotaları sağladı. Bu rotalar gittikçe daha fazla otonom sisteme yayıldıkça büyük bir kesinti meydana geldi ve dünya çapında birçok insan internetinde kesinti yaşadı ya da erişimini kaybetti.
Benzer şekilde, 2008 yılında Pakistanlı bir internet servis sağlayıcısı, Pakistanlı kullanıcıların YouTube’u ziyaret etmelerini engellemek için bir BGP rotası kullanmaya çalıştı. Sağlayıcının hamlesi daha sonra komşu ülkelerdeki otonom sistemlere ve global olarak internetin BGP ağına yayıldı. Sonrasında YouTube’a erişmeye çalışan milyonlarca kullanıcı sorun yaşadı ve birkaç saat boyunca siteye erişim sağlanamadı.
Ek olarak, BGP karmaşası her zaman kazara gerçekleşmeyebiliyor. Saldırganlar, Nisan 2018’de Amazon’un DNS hizmetine yönelik trafiği yönlendirmek için kasıtlı olarak kötü amaçlı BGP rotaları oluşturdu. Bu kişiler trafiği kendilerine yönlendirerek 100.000 dolar değerinde kripto varlık çalmayı başardı.
BGP’nin rota paylaşma işlevi güvene dayanıyor ve genel olarak büyük işletmeler, kuruluşlar tarafından idare ediliyor. Ancak yine de bu gibi olayların yaşanma ihtimali var. Taraflar yanlış rota bilgilerini (kasıtlı veya değil) değiştirdiğinde, trafik olmaması gereken tarafa doğru akıyor ve ortaya kötü tablolar çıkabiliyor.
Neyse ki BGP güvenliği konusunda bazı ilerlemeler kaydedildi. En önemlisi, 2008 yılında Resource Public Key Infrastructure (Kaynak Açık Anahtar Altyapısı-RPKI) adı verilen bir güvenlik sistemi tanıtıldı. RPKI, BGP kullanarak bir kuruluşun IP adreslerini paylaşmasına izin veren ağ operatörünü doğrulamak için Route Origin Authorization (ROA) adı verilen kriptografik imzalı kayıtları kullanıyor.
Ne yazık ki RPKI tek başına yeterli değil. Büyük ağlar RPKI kullanmazsa, büyük ölçekli hırsızlık saldırılarını yayabilirler. Şu anda öncü internet sağlayıcılarının %50’sinden fazlası bir dereceye kadar RPKI desteği sunuyor. Ancak BGP’yi tamamen güvenli hale getirmek için daha büyük bir çoğunluğa ihtiyaç var. Ağ operatörleri RPKI uygulayarak ve Cloudflare Route Leak Detection gibi ağ uyarı teknolojilerini kullanarak ağlarını koruyabiliyor. Bu özellik, müşterilere yetkisiz tarafların reklamını yaptığını bildirerek BGP saldırılarını önlemeye yardımcı oluyor.
