前情回顾·BGP安全威胁态势
安全内参9月6日消息,美国白宫日前表示,希望加强互联网路由,特别是边界网关协议(BGP)的安全性。
BGP被称为互联网的“粘合剂”,用于管理不同网络之间的在线流量路径。这些网络被称为自治系统(AS),共同构成了互联网。白宫国家网络总监办公室(ONCD)于9月3日发布了一份《增强互联网路由安全路线图》报告,指出BGP在设计之初并没有充分考虑安全性问题。
报告中写道:“BGP在最初的设计和如今的日常运作中,未能为我们当前面临的风险提供足够的安全性和弹性。关于BGP的基本漏洞问题,已经被讨论了超过25年。”
BGP不会检查远程网络是否有权宣布流量路径的变更,也不会验证网络之间交换的消息是否真实,或检查路由声明是否违反了相邻网络之间的商业政策。
这导致了BGP路由劫持问题的长期存在。举例来说,2008年,巴基斯坦干扰了YouTube的流量;而2022年,俄罗斯在进军乌克兰时利用了BGP的漏洞,限制了推特的流量。
报告指出:“路由劫持可能会泄露个人信息,助长盗窃、勒索以及国家级别的间谍活动;同时也可能破坏安全关键交易,并影响关键基础设施的正常运作。尽管大多数BGP事件都是偶然的,但由于担忧恶意行为者的利用,这个问题已经上升为国家安全的主要议题之一。”
今年6月,美国司法部和国防部曾致函联邦通信委员会(FCC),支持该委员会决定调查互联网路由安全问题。美国司法部和国防部都认可解决BGP风险的必要性,并指出有他国电信公司在2010年以及2015年至2019年期间,曾多次错误地宣布流量路由,将美国的网络流量引导至对方国家。该公司的FCC执照已在2021年被吊销。
有一种现有的加密认证方案可以缓解这些风险:资源公钥基础设施(RPKI),其中包括路由源验证(ROV)和路由源授权(ROA)。然而,这一安全机制并非完美无缺,而且尚未得到广泛部署。
根据白宫的路线图,在欧洲,大约70%的BGP路由已经发布了ROA,并通过了ROV验证。然而,在其他地区,RPKI的采用率较低。在美国,由于美国互联网号码注册管理局(ARIN)管理的IP空间相较于欧洲或亚洲更加庞大且历史悠久,加之美国政府在RPKI的采用上落后于私营部门,美国的RPKI采用率仅为39%。
ONCD发布的路线图旨在加速RPKI在美国公共和私营部门的采用进程。
白宫国家网络总监Harry Coker, Jr.在声明中表示:“互联网的安全性至关重要,不能被忽视。因此,联邦政府将以身作则,推动各个机构迅速增加对BGP安全措施的采用。”
FCC主席Jessica Rosenworcel指出,这一路线图是对FCC此前制定的规则的补充,这些规则要求互联网服务提供商制定应对BGP安全风险的管理计划,并要求大型电信公司每季度发布公共报告。
参考资料:https://www.theregister.com/2024/09/03/white_house_bgp_security/
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。