美國白宮國家網路總監辦公室(Office of the National Cyber Director,ONCD)周二(9/3)發布了一份強化網路路由安全(Enhancing Internet Routing Security)的藍圖,目的是解決與邊界閘道協定(Border Gateway Protocol,BGP)有關的安全漏洞。
全球網路大約是由7.4萬個自治系統(Autonomous System,AS)組成,每個AS通常由一個組織管理,並具備唯一的的AS號碼(ASN);BGP則允許不同的AS相互通訊或交換路由訊息,AS亦使用BGP來宣告它們可以到達的IP位址,BGP協助AS決定如何幫封包路由至其它AS,AS使用BGP來選擇到達目標的最佳路徑。簡單地說,AS與BGP構築了網路骨幹。
然而,1989年設計的BGP並未考量現代網路所面臨的安全威脅,使得相關的意外頻傳,像是路由劫持、路由洩露或缺乏認證等,例如2008年時,巴基斯坦政府命令ISP業者封鎖YouTube,巴基斯坦電信則企圖利用BGP路由來阻止YouTube,結果此一路由訊息被傳播到全球的BGP路由表中,造成全球大多數的YouTube流量都被錯誤地導至巴基斯坦而無法存取YouTube。2021年Meta旗下各服務的中斷,也被指向BGP。
ONCD認為,現階段要解決BGP漏洞的最佳作法是資源公鑰基礎設施(Resource Public Key Infrastructure,RPKI)、註冊服務協議(Registration Service Agreements,RSA),路由來源驗證(Route Origin Validation ,ROV),以及路由來源授權(Route Origin Authorizations,ROA)。
其中,RSA為整個系統的法律基礎,它確定誰有權使用特定的網路資源並授權它們參與RPKI;RPKI則是個用來實現安全的技術框架;ROA即為RPKI的成果,決定哪個AS可以宣告哪些IP前綴;ROV則使用RPKI與ROA資料來驗證BGP路由公告的有效性。
ONCD已制定了聯邦RSA範本附錄,鼓勵聯邦機構使用它來推動RPKI的採用,美國國家海洋及大氣管理局也制定了聯邦RPKI手冊,以支援RSA的執行,以及與聯邦網路上建立ROA的過程。期望今年底前,RSA將可覆蓋聯邦網路所公布的6成以上的IP空間,以替建立ROA舖路。
白宮國家網路總監Harry Coker, Jr表示,網路安全太重要了,聯邦政府必須以身作則加速對BGP安全措施的採用,與公、私部門合作朝向共同的目標,包括制定藍圖以減輕長期存在的漏洞,造就更安全的網路,以確保美國國家安全與經濟繁榮。
熱門新聞
2024-12-03
2024-11-29
2024-12-02
2024-12-02
2024-11-20