保護(hù)Internet路由的路徑

多年來，Internet路由一直依賴于基于信任的模型。雖然這個系統(tǒng)總體運(yùn)作良好，但它現(xiàn)在正在努力應(yīng)對互聯(lián)網(wǎng)的指數(shù)增長和越來越多的在線網(wǎng)絡(luò)威脅行為者。目前，基于信任的系統(tǒng)中可利用的弱點(diǎn)正在成為一個主要的安全問題。

由Verizon引發(fā)的巨大Cloudflare中斷最近暴露了基于信任的路由引起的問題。此次中斷導(dǎo)致許多在Cloudflare上托管的網(wǎng)站脫機(jī)并在幾個小時內(nèi)無法訪問。雖然本質(zhì)上不是惡意的，但這一事件證明了當(dāng)前的互聯(lián)網(wǎng)路由模型 - 建立在所有數(shù)據(jù)包通過廣告路徑路由的信任基礎(chǔ)上 - 可以被利用;并具有毀滅性的影響。

今天，互聯(lián)網(wǎng)流量通過所聲稱的路徑以及它聲稱擁有的信息進(jìn)行路由是遠(yuǎn)遠(yuǎn)不能確定的。很明顯，需要一個更好的路由驗(yàn)證系統(tǒng)。

與舊的

由于無法大規(guī)模驗(yàn)證路線公告，因此基于信任的互聯(lián)網(wǎng)路由模型不再能夠有效地處理路線驗(yàn)證任務(wù)。這里的問題是雖然存在許多路由數(shù)據(jù)庫，其中一些由地區(qū)互聯(lián)網(wǎng)注冊機(jī)構(gòu)(RIR)維護(hù)，但現(xiàn)有系統(tǒng)缺乏數(shù)據(jù)的加密簽名。隨著時間的推移，這些Internet路由注冊表數(shù)據(jù)庫開始保存無效的數(shù)據(jù) - 無論是因?yàn)樗堰^時，還是因?yàn)樗形葱迯?fù)的拼寫錯誤，或者在更極端的情況下，因?yàn)閻阂庑袨檎吖室獠迦氩徽_的信息以借出外觀他們劫持的合法性。

隨著互聯(lián)網(wǎng)流量的增加和數(shù)據(jù)庫變得越來越過時，路由驗(yàn)證的重要性也在增加。這促成了由RIR，開源軟件開發(fā)商和幾家主要路由器供應(yīng)商共同開發(fā)的資源公鑰基礎(chǔ)設(shè)施(RPKI)的開發(fā)。RPKI是一種社區(qū)驅(qū)動的路由創(chuàng)新，通過將IP地址和AS號連接到信任錨(數(shù)字證書)來幫助實(shí)時和大規(guī)模保護(hù)Internet的路由基礎(chǔ)設(shè)施。為了使RPKI以最佳方式工作，它需要三個步驟 - 路由源授權(quán)，路由源驗(yàn)證和路由過濾。

然后，RPKI以加密方式驗(yàn)證路線公告，以消除對流量來源的疑問。雖然RPKI是一個很有前景的解決方案，但它在實(shí)踐中意味著什么?對于互聯(lián)網(wǎng)路由基礎(chǔ)設(shè)施安全性的擔(dān)憂是否意味著終結(jié)?

第一步

RPKI毫無疑問地提供了改進(jìn)的路由安全性，但它僅保護(hù)使用它的網(wǎng)絡(luò)附近的路由。它不保護(hù)流量路由的整個路徑。這意味著RPKI現(xiàn)在是防止從網(wǎng)絡(luò)路由的第一跳中潛在劫持的最有效方法。

但是，它無法阻止整體的Internet劫持，因?yàn)闊o效路由可能已經(jīng)沿著路由線行進(jìn)，直到它被停止。

這并不是說RPKI不是組織應(yīng)該(或可以承受)忽視的重要一步。它的作用是至關(guān)重要的;它的部署越廣泛，它就越有效。

充分利用RPKI

為了使RPKI最有效，IP地址和ASN的持有者需要創(chuàng)建一個稱為路由源授權(quán)('ROA')的加密語句。ROA只能由前綴的合法持有者創(chuàng)建，并說明哪個AS號被授權(quán)在互聯(lián)網(wǎng)上宣布此前綴。這有助于驗(yàn)證路線公告來自他們聲稱的路線(路線原點(diǎn)驗(yàn)證)，然后過濾請求(路線過濾)，從而刪除任何“無效”路線。路由過濾實(shí)際上是阻止惡意行為者宣傳不屬于它們的路由的原因;或者是一個簡單的錯誤配置，從被傳播和滾雪球變成一個更大的事件。

為了使路由過濾有效，更多組織需要開始創(chuàng)建ROA，以確保其路由不受惡意或無意的劫持。簡而言之，ROA有助于數(shù)字化驗(yàn)證前綴應(yīng)該來自何處以及合法持有者應(yīng)該是誰(防止不良行為者進(jìn)行欺詐性索賠，或者防止無辜的路由錯誤)。