美国白宫国家网络总监办公室发布强化网络路由安全蓝图
为了应对与边界路由协议(Border Gateway Protocol,BGP)相关的安全漏洞,美国白宫国家网络总监办公室于9月3日发布了一份《增强互联网路由安全》的蓝图。此蓝图旨在解决全球网络中7.4万个自治系统(Autonomous System,AS)所面临的BGP安全问题,包括路由劫持、路由泄露等威胁。
BGP:构建网络骨干的关键
全球网络由AS系统构成,每个系统通常由一个组织管理,并拥有唯一的AS号码(ASN)。BGP允许不同AS系统之间进行通信和路由信息交换,AS系统使用BGP宣告其可达的IP地址,BGP帮助AS系统决定如何将数据包路由至其他AS系统,从而选择最佳路径。简而言之,AS系统与BGP共同构建了网络骨干。
传统BGP的安全挑战
然而,1989年设计的BGP并未考虑现代网络面临的复杂安全威胁,导致了一系列安全事件的发生。例如,在2008年,巴基斯坦政府命令互联网服务提供商(ISP)封锁YouTube,巴基斯坦电信试图通过BGP路由来阻止YouTube,结果这一路由信息被传播到全球的BGP路由表中,导致全球大部分的YouTube流量错误地导向巴基斯坦,无法访问YouTube。
解决方案:RPKI、RSA、ROV与ROA
ONCD认为,当前解决BGP漏洞的最佳方法是资源公钥基础设施(Resource Public Key Infrastructure,RPKI)、注册服务协议(Registration Service Agreements,RSA)、路由来源验证(Route Origin Validation,ROV)以及路由来源授权(Route Origin Authorizations,ROA)。
- RSA是整个系统的法律基础,确定了有权使用特定网络资源并授权参与RPKI的实体。
- RPKI是一个实现安全的技术框架。
- ROA是RPKI的结果,决定哪个AS可以宣告哪些IP前缀。
- ROV使用RPKI和ROA数据来验证BGP路由公告的有效性。
联邦政府的行动计划
白宫国家网络总监Harry Coker, Jr.表示,网络安全性至关重要,联邦政府必须率先采取行动,加速采用BGP安全措施,并与公、私部门合作,共同减少长期存在的漏洞,构建更安全的网络环境,以确保国家的安全与经济繁荣。
实施步骤与目标
ONCD已制定了联邦RSA范本附录,鼓励联邦机构使用它来推动RPKI的采用。美国国家海洋与大气管理局也制定了联邦RPKI手册,以支持RSA的执行,并协助建立联邦网络上的ROA。预计到年底,RSA将覆盖联邦网络中60%以上的IP空间,为建立ROA铺平道路。
这一系列的措施旨在通过加强网络基础设施的安全性,防止未来的安全漏洞和网络攻击,从而保护国家的关键信息基础设施,并促进数字经济的健康发展。
Views: 0