NIST終于開始出手解決邊界網(wǎng)關(guān)協(xié)議(BGP)的問題了

責任編輯:editor005

作者:nana

2017-10-12 14:24:23

摘自:安全牛

美國國家標準與技術(shù)局(NIST)發(fā)布了其新“安全互聯(lián)網(wǎng)域名路由(SIDR)”標準的更新,該標準旨在提供現(xiàn)有邊界網(wǎng)關(guān)協(xié)議(BGP)所欠缺的互聯(lián)網(wǎng)安全。

美國國家標準與技術(shù)局(NIST)發(fā)布了其新“安全互聯(lián)網(wǎng)域名路由(SIDR)”標準的更新,該標準旨在提供現(xiàn)有邊界網(wǎng)關(guān)協(xié)議(BGP)所欠缺的互聯(lián)網(wǎng)安全。

作為無法應(yīng)對互聯(lián)網(wǎng)規(guī)??焖贁U張的老舊外部網(wǎng)關(guān)協(xié)議(EGP)的短期解決方案,BGP于1989年被設(shè)計出來。但該協(xié)議存在一個問題:盡管是互聯(lián)網(wǎng)運作的基礎(chǔ),BGP卻缺乏任何安全措施。

BGP控制著數(shù)據(jù)從源到目的地的路由,通過保持路線上每一步可用中轉(zhuǎn)的標簽來實現(xiàn)。這些中轉(zhuǎn)站的可用性由本地保存的路由表維護,路由表隨時更新。問題在于,路由表上沒有應(yīng)用任何安全措施。事實上,整個互聯(lián)網(wǎng)地圖都建立在信任基礎(chǔ)上,而信任在今天的互聯(lián)網(wǎng)上是稀缺品。大片流量可被劫持。

NIST在10月3號發(fā)布的文章中解釋道:“BGP是黏合互聯(lián)網(wǎng)的技術(shù)膠水;但由于歷史原因,其安全機制的缺乏,也讓它成為了黑客易于得手的目標。”

支撐BGP的信任模型很容易被濫用,也經(jīng)常被濫用。總的說來,大多數(shù)濫用被認為是隨機的,但有足夠多的可疑事件表明,關(guān)于BGP安全的擔憂,并非空穴來風(fēng)。鑒于路由表是本地約定全球分發(fā),某一個國家的電信公司便能夠修改數(shù)據(jù)通往全球的路由。

因此,NIST在另一份描述文檔中警告道:對互聯(lián)網(wǎng)路由功能的攻擊,是對基于互聯(lián)網(wǎng)的信息系統(tǒng)的重大系統(tǒng)性威脅。此類攻擊可造成:

互聯(lián)網(wǎng)服務(wù)拒絕訪問;

旁路互聯(lián)網(wǎng)流量以竊聽,及對終端(網(wǎng)站)進行路徑攻擊;

錯誤交付互聯(lián)網(wǎng)網(wǎng)絡(luò)流量到惡意終端;

損害基于IP地址的信譽和過濾系統(tǒng);

導(dǎo)致互聯(lián)網(wǎng)路由不穩(wěn)定。

最廣為人知的路由劫持案例發(fā)生在2008年2月,巴基斯坦政府認定YouTube上一段關(guān)于穆罕默德的視頻有損民族尊嚴后,一家巴基斯坦ISP試圖封鎖YouTube。這家ISP劫持YouTube到巴基斯坦流量的嘗試,切切實實地劫持了整個世界的YouTube流量,讓世界上任何地方都訪問不了YouTube。雖然目的是達到了,但結(jié)果卻未必如意——不過其他案例似乎更為惡意。

今年4月,36個大型網(wǎng)絡(luò)被由俄羅斯政府控制的俄羅斯電信公司劫持。研究人員認為,BGP表被認為篡改了,可能是俄羅斯電信公司所為。讓俄羅斯電信公司如此可疑的證據(jù),是所涉技術(shù)及金融服務(wù)公司的高度集中:比如萬事達卡、維薩卡、匯豐銀行和賽門鐵克。

因為對BGP路由表的修改,流往受影響網(wǎng)絡(luò)的流量被路由流經(jīng)俄羅斯電信公司的路由器。當時,域名系統(tǒng)提供商Dyn公司的互聯(lián)網(wǎng)分析主管道格·馬多里稱:“我會將之視為非??梢伞Mǔ?,意外泄露更為龐大和隨意。而這次,更像是專門針對金融機構(gòu)。”

其他的案例還包括:2014年進行了幾個月之久的比特幣基礎(chǔ)設(shè)施內(nèi)流量重定向,造成價值8.3萬美元的比特幣被盜;2013年的一次攻擊,將銀行、電話和政府數(shù)據(jù)繞道流經(jīng)位于白俄羅斯和冰島的路由器。

雖然一直BGP濫用相對規(guī)模較小,持續(xù)時間較短,且有時候是意外,但漏洞卻是真實存在的。NIST警告:“這些漏洞尚未被大幅利用的事實,不應(yīng)讓你覺得放松。想想我們的關(guān)鍵基礎(chǔ)設(shè)施有多少依賴互聯(lián)網(wǎng)技術(shù)——交通運輸、通信、金融系統(tǒng)等等??傆幸惶欤腥藭心莻€動機。”

NIST正與美國國土安全部(DHS)和網(wǎng)絡(luò)工程任務(wù)組(IETF)合作開發(fā)一套新的BGP標準,旨在消除這些問題。

名為“安全域名間路由(SIDR)”的這套標準,已由IETF發(fā)布,代表著防御互聯(lián)網(wǎng)路由系統(tǒng)免受攻擊的首次全面努力。

SIDR由3個單獨的部分組成:資源公鑰基礎(chǔ)設(shè)施(RPKI)、BGP源驗證(BGP-OV)、和BGP路徑驗證(BGP-PV)。

RPKI允許第三方加密驗證互聯(lián)網(wǎng)地址塊和互聯(lián)網(wǎng)自治系統(tǒng)的所有權(quán)聲明。源驗證提供協(xié)議擴展和攻擊,讓BGP路由器可以使用RPKI數(shù)據(jù)監(jiān)測并過濾未經(jīng)授權(quán)的BGP路由聲明。路徑驗證提供進一步的協(xié)議擴展,讓BGP路由器可以加密驗證構(gòu)成BGP路由的網(wǎng)絡(luò)序列(自治系統(tǒng)路徑)。

源驗證將遏阻簡單路由劫持攻擊和錯誤配置(無意的),而路徑驗證將阻止更復(fù)雜和隱秘的路由繞道攻擊。二者結(jié)合,便可提供一套完整的解決方案,解決原始BGP中發(fā)現(xiàn)的路由漏洞。

這3個組件中的規(guī)范如今已經(jīng)完成。第3個組件——路徑驗證,也被稱為BGPsec,于9月由IETF作為 RFC 8205 發(fā)布。不過,協(xié)議的應(yīng)用,又是另一回事了。

第1個組件RPKI,于2012年2月在 RFC 6480 中發(fā)布。到2016年,盡管全部5個區(qū)域互聯(lián)網(wǎng)注冊機構(gòu)都支持RPKI,路由源授權(quán)(ROA)的采納卻遲緩又零散。僅不到7%的全球BGP聲明是ROA覆蓋之下的。RPKI在歐洲(ROA覆蓋的地址空間在30%以下)和拉丁美洲(13%)的采納,要比在北美(3%)要快很多。

隨著最后一個SIDR組件規(guī)范的就位,NIST如今準備重定向其工作方向了。NIST聲明中表示,隨著標準的發(fā)布,NIST的工作將轉(zhuǎn)向幫助業(yè)界采納該標準,包括發(fā)行技術(shù)部署指南,改善實現(xiàn)的性能和可擴展性。

作為技術(shù)轉(zhuǎn)型工作的一部分,NIST國家卓越網(wǎng)絡(luò)安全中心(NCCoE),最近宣布了一項專注SIDR的新計劃。

隨著SIDR的成型,BGP這個1989年的臨時解決方案終于有了安全性。該標準能否在大型BGP攻擊搞攤整個互聯(lián)網(wǎng)之前得以全球部署,我們尚拭目以待。反正,總有一天,總會有人有那個動機嘗試一把的。

SIDR標準集:

https://datatracker.ietf.org/wg/sidr/documents/

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號