信息化觀察網(wǎng)

本文來自微信公眾號“GoUpSec”。

為加固互聯(lián)網(wǎng)路由安全的薄弱環(huán)節(jié)，美國國家網(wǎng)絡安全辦公室（ONCD）近日發(fā)布了一個提升互聯(lián)網(wǎng)路由安全的路線圖，主要針對邊界網(wǎng)關協(xié)議（BGP）相關漏洞進行改進。

BGP作為全球互聯(lián)網(wǎng)的基礎協(xié)議，負責全球超過7萬個獨立網(wǎng)絡間的流量管理，廣泛應用于ISP、云服務提供商、政府機構(gòu)、大學和能源供應商等。ONCD指出，BGP的設計缺乏現(xiàn)代互聯(lián)網(wǎng)所需的安全措施，這使得網(wǎng)絡流量可能被意外或惡意重定向，導致關鍵基礎設施面臨風險，并可能為間諜活動、數(shù)據(jù)盜竊和安全漏洞提供掩護。

推動RPKI成為全球標準

ONCD路線圖中提出了廣泛采用資源公鑰基礎設施（RPKI）的建議。RPKI是由IETF制定的標準框架，能夠通過防止路由劫持、路由泄漏和IP資源劫持等手段來提升安全性。通過實施RPKI，互聯(lián)網(wǎng)服務提供商（ISP）和運營自己的路由網(wǎng)絡的企業(yè)可以確保BGP公告和路由更新的合法性和安全性，避免數(shù)據(jù)傳輸中斷或被惡意篡改。

RPKI與BGP的對比明顯，如文末所示

國家網(wǎng)絡安全辦公室呼吁所有網(wǎng)絡類型的運營商，包括ISP、企業(yè)網(wǎng)絡和擁有自己IP資源的組織，盡快采用RPKI標準。特別是對于關鍵基礎設施的運營商、州和地方政府，以及依賴互聯(lián)網(wǎng)進行“高價值”任務的組織，BGP的安全尤為重要。

白宮國家網(wǎng)絡安全主任Harry Coker Jr.在發(fā)布報告時表示：“互聯(lián)網(wǎng)安全事關重大，聯(lián)邦政府將率先推動BGP安全措施的快速普及。”

除了發(fā)布報告，ONCD還設立了公私合作的利益相關者工作組，并共同主持了互聯(lián)網(wǎng)路由安全工作組。該工作組將制定框架，幫助網(wǎng)絡運營商評估風險，優(yōu)先處理關鍵的IP地址資源和路由源。

BGP漏洞的安全風險

BGP作為全球互聯(lián)網(wǎng)的基礎協(xié)議，廣泛應用于ISP、云服務提供商、政府機構(gòu)、大學和能源供應商等。然而，ONCD指出，BGP的設計缺乏現(xiàn)代互聯(lián)網(wǎng)所需的安全措施，這使得網(wǎng)絡流量可能被意外或惡意重定向，導致關鍵基礎設施面臨風險，并可能為間諜活動、數(shù)據(jù)盜竊和安全漏洞提供掩護。

互聯(lián)網(wǎng)基礎設施提供商Cloudflare指出，全球只有約一半的網(wǎng)絡采用了RPKI。過去幾年，曾發(fā)生過多起重大BGP安全事件，例如：

●2021年4月：全球性BGP泄漏事件。這次BGP路由泄漏導致全球數(shù)千個網(wǎng)絡受到影響。事件的起因是一個錯誤的BGP路由配置，導致原本不應該被廣告的路由被傳播到全球，影響了多個國家的互聯(lián)網(wǎng)連接(。

●2022年8月：加密貨幣服務Celer Bridge的BGP劫持。黑客通過偽造的BGP公告成功劫持了Celer Bridge的加密貨幣交易，重定向資金到攻擊者的賬戶。此次事件通過更改AltDB數(shù)據(jù)庫的內(nèi)容欺騙了傳輸提供商，使攻擊者得以冒充亞馬遜網(wǎng)絡服務（AWS）來進行劫持。

●2008年：YouTube被封鎖事件。巴基斯坦電信公司（PTCL）通過BGP劫持全球范圍內(nèi)的YouTube流量，試圖在國內(nèi)封鎖該服務。雖然該舉動本應僅影響巴基斯坦境內(nèi)的訪問，但錯誤的路由公告?zhèn)鞑サ搅巳颍瑢е耏ouTube在全世界范圍內(nèi)下線。

這些事件凸顯了BGP的脆弱性，無論是有意的攻擊還是無意的配置錯誤，都會導致全球互聯(lián)網(wǎng)服務中斷和安全隱患。

專家們認為，全球互聯(lián)網(wǎng)路由依賴信任而非安全是不可持續(xù)的。Team8風投集團的首席技術(shù)官Eidan Siniver指出：“企業(yè)經(jīng)常在全球站點之間傳輸敏感數(shù)據(jù)，而被劫持的路由將帶來重大安全風險。網(wǎng)絡運營商應當廣泛采用RPKI等框架，優(yōu)先考慮安全而非信任，建立可靠的標準。”