¿Qué es BGP y cómo su falla derribó Facebook?
Tabla de contenidos:
El 4 de octubre de 2021, Facebook, y todos los principales servicios que posee, estuvieron inactivos durante aproximadamente seis horas. El ‘apagón’ de las redes sociales comenzó a las 11:40 hora del este (ET) justo después de que los registros del Sistema de Nombres de Dominio (DNS) de Facebook se volvieran inaccesibles.
El incidente análisis de Cloudflare detalla que los nombres DNS de Facebook simplemente dejaron de resolverse, y las IP de infraestructura del gigante de las redes sociales se volvieron inaccesibles. Sin embargo, los problemas de DNS parecen ser solo una consecuencia, pero no la causa raíz del problema. La falla inicial ocurrió en el enrutamiento del Protocolo de Puerta de Enlace Fronterizo (BGP) hacia los recursos web de Facebook.
¿Qué es BGP?
El Protocolo de Puerta de Enlace Fronterizo (BGP) es un mecanismo estandarizado que impulsa el intercambio de información de enrutamiento entre sistemas autónomos (AS) en Internet. A medida que las redes separadas necesitan interconectarse para formar una red global, ellas promueven su presencia comunicando la información de enrutamiento. Estos datos se almacenan además en una base de información de enrutamiento (RIB).
La RIB actúa como un gran mapa en constante actualización que existe para trazar el camino a través de una variedad de destinos. BGP puede acceder a la base de datos RIB, enumerando todas las rutas posibles para entregar datos y eligiendo la más eficiente. En caso de que BGP falle, una red (Facebook, en este caso) no puede anunciar su presencia, por lo tanto, otras redes ya no pueden alcanzarla. Como resultado, la red afectada parece estar desconectada de Internet.
Por qué Facebook no funcionaba
Según la entrada del blog explicativa de Facebook, el problema ocurrió después de un cambio de configuración importante. Afectó al sistema que gestiona la capacidad de la red troncal global de Facebook responsable de enlazar todos los centros de datos del proveedor. Además, este cambio de configuración resultó en la retirada de las rutas de Facebook y los servidores del gigante de las redes sociales se quedaron sin conexión.
Con esos cambios de configuración y retiradas de ruta, Facebook literalmente se cortó a sí mismo de Internet, junto con sus populares servicios Instagram, WhatsApp y Oculus VR. Además de desaparecer de Internet, Facebook dejó a sus empleados sin la capacidad de entrar a los edificios de oficinas ya que las tarjetas inteligentes también se vieron afectadas por la interrupción. Además, la plataforma de flujo de trabajo interno de Facebook, Workplace, también fue bloqueada, dejando a los empleados sin la capacidad de continuar con las tareas diarias.
Dado que el problema parece haber ocurrido debido a la actualización de configuración incorrecta por parte de los ingenieros de red de Facebook, la solución también vino de los técnicos que accedieron a los enrutadores localmente para solucionar los problemas. Seis horas después de que comenzara la interrupción, los recursos de Facebook fueron restaurados y los usuarios desconcertados pudieron acceder a sus cuentas de redes sociales. A partir del 8 de octubre de 2021, los sistemas de Facebook están completamente funcionales.
Detectando fallas de BGP
Dado que incluso los problemas menores de enrutamiento de BGP pueden causar grandes problemas en su infraestructura, es importante rastrear cualquier cambio relacionado con su configuración. Para monitorizar las interrupciones y fallas de BGP, Massimo Candela, un ingeniero de software senior en NTT Global Networks, desarrolló una herramienta dedicada llamada BGPalerter. Es una herramienta autoconfigurada que realiza el análisis de las corrientes de datos de BGP desde varias fuentes al vuelo. Potencia la detección en tiempo real de pérdida de visibilidad, anuncios invalidados por RPKI, secuestros y más.
Para hacer el seguimiento de interrupciones de BGP aún más fácil, el equipo de SOC Prime lanzó una regla Sigma que detecta eventos altos y críticos generados por BGPalerter. La regla está disponible para descarga gratuita en la plataforma de SOC Prime tras registrarse.
Cambios sospechosos de BGP (a través de la herramienta BGPalerter)
La detección tiene traducciones para las siguientes plataformas de ANALÍTICA DE SEGURIDAD SIEM: Azure Sentinel, ELK Stack, Chronicle Security, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB.
La regla está mapeada a la metodología de MITRE ATT&CK que aborda las tácticas de Impacto y la técnica de Denegación de Servicio de Red (t1498).
Regístrese en la plataforma SOC Prime para hacer la detección de amenazas más fácil, rápida y simple. Cace instantáneamente las amenazas más recientes en más de 20 tecnologías SIEM & XDR compatibles, automatice la investigación de amenazas y obtenga retroalimentación y validación de más de 20.000 profesionales de seguridad de la comunidad para impulsar sus operaciones de seguridad. ¿Ansioso por elaborar su contenido de detección? Únase a nuestro programa Threat Bounty, comparta sus reglas Sigma y Yara en el repositorio del Market de Detección de Amenazas y obtenga recompensas recurrentes por su contribución individual. ¿Entusiasmado por mejorar sus habilidades de caza de amenazas? Aprenda qué son las reglas Sigma y cómo empezar a crearlas con nuestra guía para principiantes.
