美国国家标准与技术局(NIST)发布了其新“安全互联网域名路由(SIDR)”标准的更新,该标准旨在提供现有边界网关协议(BGP)所欠缺的互联网安全。
作为无法应对互联网规模快速扩张的老旧外部网关协议(EGP)的短期解决方案,BGP于1989年被设计出来。但该协议存在一个问题:尽管是互联网运作的基础,BGP却缺乏任何安全措施。
BGP控制着数据从源到目的地的路由,通过保持路线上每一步可用中转的标签来实现。这些中转站的可用性由本地保存的路由表维护,路由表随时更新。问题在于,路由表上没有应用任何安全措施。事实上,整个互联网地图都建立在信任基础上,而信任在今天的互联网上是稀缺品。大片流量可被劫持。
NIST在10月3号发布的文章中解释道:“BGP是黏合互联网的技术胶水;但由于历史原因,其安全机制的缺乏,也让它成为了黑客易于得手的目标。”
支撑BGP的信任模型很容易被滥用,也经常被滥用。总的说来,大多数滥用被认为是随机的,但有足够多的可疑事件表明,关于BGP安全的担忧,并非空穴来风。鉴于路由表是本地约定全球分发,某一个国家的电信公司便能够修改数据通往全球的路由。
因此,NIST在另一份描述文档中警告道:对互联网路由功能的攻击,是对基于互联网的信息系统的重大系统性威胁。此类攻击可造成:
- 互联网服务拒绝访问;
- 旁路互联网流量以窃听,及对终端(网站)进行路径攻击;
- 错误交付互联网网络流量到恶意终端;
- 损害基于IP地址的信誉和过滤系统;
- 导致互联网路由不稳定。
最广为人知的路由劫持案例发生在2008年2月,巴基斯坦政府认定YouTube上一段关于穆罕默德的视频有损民族尊严后,一家巴基斯坦ISP试图封锁YouTube。这家ISP劫持YouTube到巴基斯坦流量的尝试,切切实实地劫持了整个世界的YouTube流量,让世界上任何地方都访问不了YouTube。虽然目的是达到了,但结果却未必如意——不过其他案例似乎更为恶意。
今年4月,36个大型网络被由俄罗斯政府控制的俄罗斯电信公司劫持。研究人员认为,BGP表被认为篡改了,可能是俄罗斯电信公司所为。让俄罗斯电信公司如此可疑的证据,是所涉技术及金融服务公司的高度集中:比如万事达卡、维萨卡、汇丰银行和赛门铁克。
因为对BGP路由表的修改,流往受影响网络的流量被路由流经俄罗斯电信公司的路由器。当时,域名系统提供商Dyn公司的互联网分析主管道格·马多里称:“我会将之视为非常可疑。通常,意外泄露更为庞大和随意。而这次,更像是专门针对金融机构。”
其他的案例还包括:2014年进行了几个月之久的比特币基础设施内流量重定向,造成价值8.3万美元的比特币被盗;2013年的一次攻击,将银行、电话和政府数据绕道流经位于白俄罗斯和冰岛的路由器。
虽然一直BGP滥用相对规模较小,持续时间较短,且有时候是意外,但漏洞却是真实存在的。NIST警告:“这些漏洞尚未被大幅利用的事实,不应让你觉得放松。想想我们的关键基础设施有多少依赖互联网技术——交通运输、通信、金融系统等等。总有一天,有人会有那个动机。”
NIST正与美国国土安全部(DHS)和网络工程任务组(IETF)合作开发一套新的BGP标准,旨在消除这些问题。
名为“安全域名间路由(SIDR)”的这套标准,已由IETF发布,代表着防御互联网路由系统免受攻击的首次全面努力。
SIDR由3个单独的部分组成:资源公钥基础设施(RPKI)、BGP源验证(BGP-OV)、和BGP路径验证(BGP-PV)。
RPKI允许第三方加密验证互联网地址块和互联网自治系统的所有权声明。源验证提供协议扩展和攻击,让BGP路由器可以使用RPKI数据监测并过滤未经授权的BGP路由声明。路径验证提供进一步的协议扩展,让BGP路由器可以加密验证构成BGP路由的网络序列(自治系统路径)。
源验证将遏阻简单路由劫持攻击和错误配置(无意的),而路径验证将阻止更复杂和隐秘的路由绕道攻击。二者结合,便可提供一套完整的解决方案,解决原始BGP中发现的路由漏洞。
这3个组件中的规范如今已经完成。第3个组件——路径验证,也被称为BGPsec,于9月由IETF作为 RFC 8205 发布。不过,协议的应用,又是另一回事了。
第1个组件RPKI,于2012年2月在 RFC 6480 中发布。到2016年,尽管全部5个区域互联网注册机构都支持RPKI,路由源授权(ROA)的采纳却迟缓又零散。仅不到7%的全球BGP声明是ROA覆盖之下的。RPKI在欧洲(ROA覆盖的地址空间在30%以下)和拉丁美洲(13%)的采纳,要比在北美(3%)要快很多。
随着最后一个SIDR组件规范的就位,NIST如今准备重定向其工作方向了。NIST声明中表示,随着标准的发布,NIST的工作将转向帮助业界采纳该标准,包括发行技术部署指南,改善实现的性能和可扩展性。
作为技术转型工作的一部分,NIST国家卓越网络安全中心(NCCoE),最近宣布了一项专注SIDR的新计划。
随着SIDR的成型,BGP这个1989年的临时解决方案终于有了安全性。该标准能否在大型BGP攻击搞摊整个互联网之前得以全球部署,我们尚拭目以待。反正,总有一天,总会有人有那个动机尝试一把的。
SIDR标准集:
https://datatracker.ietf.org/wg/sidr/documents/
相关阅读
彻底根治DDoS?只有他们才能做到
全球互联网的致命软肋——边界网关协议
