邊界網(wǎng)關(guān)協(xié)議(Border Gateway Protocol)確實起到了不少作用。但是,企業(yè)仍舊應該實施一些措施以保證IT路由的安全性。
全球互聯(lián)網(wǎng)路由表主要是基于信任但需驗證的模型而建立的,這不同于早期的互聯(lián)網(wǎng),因為那里每一位主干網(wǎng)的工程師本身都是互相認識的。與許多其他的早期應用程序類似,安全并不是邊界網(wǎng)關(guān)協(xié)議(BGP)發(fā)展的主要因素。
互聯(lián)網(wǎng)在過去只是一種主要用于學術(shù)研究的通信媒介,它的應用程序和協(xié)議都依賴于可信的個人連接,但是它現(xiàn)在已經(jīng)轉(zhuǎn)換為一種依賴于加密機制的技術(shù),通過加密來保證數(shù)據(jù)保密性、完整性和身份驗證。Telnet大多數(shù)時候提供了安全Shell連接方法,而開放郵件(Open Mail)延遲問題也大多已經(jīng)解決。BGP安全性基本上也有相同的需求,現(xiàn)在有一些標準可以進一步加強信任但需驗證策略的“驗證”部分。
沒有針對全球IP路由的集中授權(quán)方法目前還既沒有針對全球IP路由信息的集中授權(quán)方法,既沒有面向互聯(lián)網(wǎng)分層路由結(jié)構(gòu)的方法。全球路由表是由互連運營商建立的,他們會向連接方告知自己將通過哪些路由來接收流量。為了實現(xiàn)這個效果,BGP會在路由器之間建立會話,用于交換關(guān)于可訪問性信息前綴。即使是非ISP的中小型公司也可以應用BGP,它可以幫助他們同時連接多個ISP,同時在供應商之間實現(xiàn)輕松切換。在任意時刻,任何BGP通信端都可以對外發(fā)布任意的IP前綴。
與此相反的是公共交換電話網(wǎng)絡,它們的路由信息是靜態(tài)的,并且通過紙質(zhì)方式或電子方式分發(fā)(如微軟Access數(shù)據(jù)庫)。只要有過更換電話號碼的經(jīng)歷,任何人都能理解BGP的好處。正是這種靈活性加快了互聯(lián)網(wǎng)的爆炸性增長。這是一個支撐互聯(lián)網(wǎng)日常運行的基礎元素,但是最終用戶感覺不到它的存在。這種不可見性在一定程度上解釋了為什么BGP拋棄了其他互聯(lián)網(wǎng)協(xié)議和應用程序上的許多安全性改進措施。
BGP或IP尋址協(xié)議并沒有內(nèi)置措施可以防止網(wǎng)絡發(fā)布錯誤前綴信息。同樣,這實際上是一個基于信任的系統(tǒng),ISP需要自行驗證他們的下游用戶發(fā)布了正確的網(wǎng)絡信息。
它必須部署一些過濾器,防止用戶發(fā)布一個不屬于它的網(wǎng)絡。但是,這個過程很容易發(fā)生錯誤,因為它基于更新不及時的信息源,如Whois數(shù)據(jù)庫或一組路由注冊表——它們都不可靠。即使在最佳環(huán)境中,仍然有可能出現(xiàn)錯誤。