国际互联网协会(Internet Society)是一个非政府、非盈利的国际性组织,成立于1992年,在推动互联网全球化,加快网络互连技术、应用软件发展,提高互联网普及率等方面发挥重要的作用。

2014年,国际互联网协会推出了一项名为“MANRS”的倡议(即路由安全性的相互商定规范,Mutually Agreed Norms for Routing Security)。基于MANRS的倡议,网络运营商会员——主要的互联网服务提供商(ISP)们将致力于实现互联网安全控制,以确保不正确的路由器信息不会通过其网络进行传播。

如今,国际互联网协会进一步扩大了其“MANRS”倡议,从只包含自治系统网络到包含互联网交换中心(IXPs)。

一个自治系统(AS)即一个有权自主地决定在本系统中应采用何种路由协议的小型单位。这个网络单位可以是一个简单的网络,也可以是一个由一个或多个普通的网络管理员来控制的网络群体,它是一个单独的可管理的网络单元(例如一所大学,一个企业或者一个公司个体)。

而所谓“互联网交换中心”(IXP),亦称为IX,它是不同电信运营商之间为连通各自网络而建立的集中交换平台,一般由第三方中立运营,是互联网的重要基础设施,国外知名IX有AMS-IX、HKIX、Equnix IX等,国内知名的第三方IX有位于上海的We IX(驰联网络)、位于北京的CNISP等。

为了实现网络路由最基本的安全性,国际互联网协会于2014年正式推出这项MANRS倡议,最开始只有9家网络运营商(ISP)自愿参与该倡议计划,而到了现在,其会员数量已经发展到了56家,互联网上的AS也有大约60,000个。国家互联网协会技术项目经理Andrei Robachevsky介绍称,我们目前设定的目标是发展700-800名积极合规的成员。由于大约80%的网络都是末梢网络(stub networks),其没有必要知道整个网络的具体拓扑,只是负责将所有流向外部的流量转发到下一跳(next-hop)路由器上去即可。Robachevsky 认为,700-800个ISP成员足以提供必要的临界点,以便大幅改善网络路由的安全性。

这在目前是一个关键问题。每个自治系统(AS)都会“通知”其客户到其他网络,以便流量能够到达其预定的目的地。其使用的协议是边界网关协议(BGP)——它是唯一一个用来处理像因特网大小的网络的协议,也是唯一能够妥善处理好不相关路由域间的多路连接的协议。其开发于20世纪90年代中期,具有适应性、简单性和已于部署的特点。BGP系统的主要功能是和其他的 BGP 系统交换网络可达信息。网络可达信息包括列出的自治系统(AS)的信息。这些信息有效地构造了AS互联的拓朴图并由此清除了路由环路,同时在AS级别上可实施策略决策。

但是该协议并不具备内置的安全性,虽然有可以验证信息的带外数据(out-of-band,简称OOB)权威数据库,但是由于这些数据并不完整,所以也并非经常使用。

不同自治系统(AS)之间路由验证的基本缺失是导致意外和恶意网络路由问题的根本原因。针对网络路由主要有以下三个主要问题:路由劫持;IP地址欺骗以及路由泄漏——值得注意的是,仅2017年就发生了14,000起网路路由相关事件。

关于“路由劫持”最经典的案例发生在2008年,当时造成YouTube宕机了大约2个小时。当时安全研究人员普遍认为,这是一起有意为之的安全事故:由于当时YouTube上出现了反伊斯兰教的视频,巴基斯坦政府要求本国ISP“封杀”这一网站,业内人士认为,正是为了阻止本国人访问YouTube,巴基斯坦电信“劫持”了YouTube网络服务器的IP地址。这些信息随后被传递至巴基斯坦的ISP,当巴基斯坦人访问YouTube时,会被重定向到另一个地址。随后,有关IP地址劫持的信息泄漏给了服务范围更广的电讯盈科(PCCW),受此影响,YouTube被全球多家ISP错误地封杀,所有用于YouTube的流量都被发送到了巴基斯坦电信。

2017年4月,Robachevsky在国际互联网协会的博客中写道,“大量属于万事达卡、Visa以及20多家金融服务公司的网络流量被俄罗斯电信劫持。几分钟后,俄罗斯最大的电信运营商Rostelecom为许多其他自治系统(AS)发起50个前缀,劫持它们的网络流量。”

IP地址欺骗可以用于不同的恶意目的。其中最具戏剧性的是反射/放大DDoS攻击。攻击者通过欺骗目标地址,然后使用放大和反射将大量数据导向受害者。今年,memcached就已被用于放大DDoS攻击,并造成足以刷新记录的“战绩”——开始的峰值为1.3Tbps,没过几天峰值达到了1.7Tbps。

如果有足够多数量的自治系统(AS)采用了MANRS原则,则反射/放大DDoS攻击将不再是一个问题,因为地址欺骗将能够被识别和拒绝。

当网络意外地发布错误信息时,就可能会发生路由泄露。2014年,发生在网络监测服务中心Dyn身上的事故就证明了这一点。而在此之前,印尼卫星(Indosat)泄露事件影响了全球的路由表;VolumeDrive也几乎泄露了整个BGP的路由表。这些安全事件让事情变得更为糟糕,其产生的影响甚至要比灾难性事件持续的时间还要更久。

MANRS倡议试图让网络提供商只遵守四项基本原则:过滤公告以确保其准确性;防止IP地址欺骗;改善网络之间的协调;对每个网络而言要确保自己的全球验证网络部分是准确无误的。现在的问题是,国际互联网协会将其MANRS社区成员从目前的56个扩大到700-800个(也就是Robachevsky所谓的“临界点”),真正地为保障网络路由安全性发挥作用。

为了实现这一目标,近日,国际互联网协会与10位IXP创始成员共同推出了一项“MANRS IXP”计划。该计划的宗旨是希望IXP(其中一些拥有多达600个与之相连的自治系统)能够协助提升网络路由的安全性,同时,IXP也将担任该计划的推广大使。

Robachevsky评论称,“如果我们能够让他们担任大使,并在其社区中推广MANRS倡议,这将不失为一种扩大MANRS规模的好方法。当然,它们也可以大力地促进路由安全,它们运行所谓的“路由服务器”,每个成员都可以连接到IXP的代理网络以获取路由信息,而不需要每个人都连接到每个人。这也就意味着,路由服务器本身可以进行验证,因为每个路由服务器都已经知道它的用户网络。此外,安装其中的过滤器可以识别配置错误或错误的公告,并且可以阻止错误、无效的公告。可以说,我们正在创建一个非常安全的对等环境,这是整个互联网路由安全性迈出的重要一步。”

对于国际互联网协会而言,目前的挑战在于签署MANRS——无论是作为单独的自治系统(AS)还是作为IXP——都没有制定任何措施来直接地保护其会员。它有助于保护其他网络,并且每个网络都非常依赖保护它们的其他网络。为了使IXP尽可能简单地加入该计划,只有三个要求:两个基本要求以及从三个可选要求中至少选择一个。

其中,两个基本要求是有效地阻止错误路由信息的传播,以及将MANRS推广到IXP自己的会员中。三个可选要求(每个IXP必须至少从中选择一项)包括保护对等平台;促进网络运营商之间的全球运营沟通和协调;以及为会员提供监控和调试工具。

MANRS IXP计划的创始参与者能偶够理解拥有更具弹性和安全的互联网路由系统的重要性。IXP社区是互联网生态系统的组成部分,而且通过参与MANRS计划,他们正在逐步发展成为一个致力于使全球路由基础设施更加安全的安全思维网络运营商社区。

如果电讯盈科(PCCW)已经实施了MANRS,那么巴基斯坦电信对YouTube的劫持是不可能发生的。而如果电讯盈科没有实施MANRS,但IXP已经这样做了,那么劫持就会在对等连接点(peering points)停止。

声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。