美国国家标准技术研究所(简称 NIST)与国土安全部(简称 DHS)联合发布关于 GBP 路由来源验证( ROV)标准的全新初稿,此项标准将帮助互联网服务供应商与云服务供应商抵御 BGP 劫持攻击。

这项启动于2017年10月的互联网绑定协议制定工作,目前终于迎来初步成果。

就在上周,NIST 下辖的国家网络安全卓越中心(简称 NCCoE)发布了一份安全标准初稿,此项标准旨在为边界网关协议(BGP)提供保护。

关于BGP

BGP 是一项负责将各互联网服务供应商(ISP)、托管服务供应商、云服务供应商以及教育、研究与国家网络连接起来,从而实现网络之间流量发送的核心协议。换言之,其能够将众多小型网络统一构建为整体互联网。

BGP 协议设计于上世纪八十年代,且最后一次重大修订于1995年完成——当时,安全显然还没有成为互联网面临的致命威胁。

什么是BGP劫持?

自那时开始,恶意攻击者一直在滥用 BGP 协议以引导小型网络将网络流量数据块发送至错误的目的地,从而实现对目标流量的拦截、嗅探或者篡改。此类攻击行为通常被称为 BGP 劫持,其近年来已经成为一大严重问题,并引发一系列重大安全事件。

  • 2018年7月底 Telegram 的全球流量就曾被引向伊朗——事件的核心,正是 BGP 劫持。

  • 2018年4月,攻击者利用 BGP 劫持对指向 Amazon Web Services(AWS)服务的流量进行了重新路由,旨在借此对以太坊钱包网络发动网络钓鱼攻击。

  • 2017年12月,某俄罗斯互联网服务供应商针对谷歌、Facebook、苹果以及微软等大型企业的网站进行了网络流量 BGP 劫持。而在此8个月之前,另一家俄罗斯互联网服务供应商亦曾对 Visa、MasterCard 以及赛门铁克网站的流量进行 BGP 劫持。

  • 2017年8月,谷歌公司的一项失误引发 BGP 劫持,导致日本遭遇全国范围内的服务中断。

这些只是过去几年当中曝光的 BGP 劫持事件的一小部分,类似状况还有更多。

“IETF SIDR ”项目

2017年10月,美国国家标准技术研究所与美国国土安全部科学与技术理事会共同启动了一个名为安全域间路由(SIDR)的联合项目,明确提出应对 BGP 协议进行保护以抵御此类攻击威胁。

NIST 下辖国家网络安全卓越中心在当时的一份声明中指出,“我们的主要目标,在于利用加密方法确保路由数据沿网络间的授权路径进行传播。”

“IETF SIDR ”项目主要分为三个基本组成部分:

第一:资源公钥基础设施(简称RPKI),负责为互联网地址持有方——通常为企业或云服务供应商——提供控制能力,用以规定哪些网络能够与其地址块进行直接连接;

其二: BGP 来源验证机制,允许路由器利用 RPKI 信息对未经授权的 BGP 路由通告进行过滤,从而确保恶意方无法轻松将流量劫持至特定目的地;

第三: BGP 路径验证(简称GBPsec),即IETF刚刚发布的标准草案(RFC 8205至8210)中描述的内容。”

备注:RPKI 为 IETF 下辖 SIDR 工作组的产品,NIST 与 DHS 只是参与其中,但目前 RPKI 被纳入 NIST 与 DHS 的 SIDR 项目之内。

BGP 路由来源验证(ROV)标准

本周早些时候,NIST 与 DHS 团队共同发布了其 BGP 路由来源验证(ROV)标准的初稿。

NIST 在本周的一份新闻稿中表示,“本指南中描述的示例方案,旨在通过验证路由来源以保护数据完整性,同时提高互联网流量交流机制的弹性。”

“基于此项标准的示例解决方案将被部分或者全部引入商用产品。此外,其还可以作为参考素材,帮助各类组织设计出自己的定制化解决方案。”

此份草案目前已经面向公众及私营部门开放,并将在10月15日之前持续征求改进意见。在此之后,草案将交由IETF(互联网工程任务组,负责批准各类互联网标准)进行审查与批准。

此外,IETF 网站上还以 RFC 8210 与 RFC 8206 的形式发布了 BGP RPKI 与BGPsec 两项 SIDR 协议标准。

声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。