政策制定者们对于近期中国是否会采取行动意见不一互联网流量劫持是恶意的还是偶然的,但是这次事件的根本原因是毫无疑问的:因特网的主要路由协议缺乏内置的安全性。
十年来,网络工程师们一直在谈论互联网基础设施的这一弱点。现在,解决方案终于在路上了。
从1月1日开始,互联网注册机构将在其操作中增加一层加密,这样isp和其他网络运营商就可以验证他们有权对一块IP地址或称为自主系统号的路由前缀的流量进行路由。
“资源公开密码匙基础建设”(RPKI) -并不完美。它将要求所有的互联网注册机构以及主要的互联网服务提供商都采取类似的措施,以防范中国电信今年4月劫持了全球15%的互联网流量的事件。
RPKI的支持者说,这是提高边界网关协议(BGP)安全性所急需的第一步,BGP是因特网的核心路由协议。
并不是每个人都相信它会起作用。
如果RPKI被广泛采用,至少可以防止网络服务提供商因错误路由信息而意外中断互联网流量。
亚太网络信息中心(APNIC)首席科学家杰夫·休斯顿(Geoff Huston)表示,当RPKI与旨在确保BGP路由安全的后续工作结合起来时,它将消除许多路由事故,包括中国电信的劫持事件。
“整个工作的目的,包括将RPKI作为底层安全平台,以及将安全的BGP作为向路由系统引入签名凭证的方式,是为了使路由系统中的漏洞自动检测出来,并因此自动删除,”Huston说。“它将消除大量问题……这样一个系统将直接解决(中国电信)事件。”
RPKI的开发工作部分是由美国国土安全部资助的,它已经加强了美国国防部的安全互联网路由系统一个关键的网络安全倡议。
目前还不清楚RPKI将以多快的速度被采用。帮助设计RPKI的公司包括思科,谷歌,德国电信,日本电报电话公司,冲刺和Equinix的。
“RPKI将解决绝大多数突然出现的路由问题,但它不是最终的解决方案,”Stephen Kent说,他是雷神BBN技术公司信息安全的首席科学家,也是RPKI标准工作的贡献者之一。
肯特说,RPKI之后必须为正在开发中的BGP增加路由安全性。与RPKI相比,BGP的更新需要更长的时间和更昂贵的部署,因为它需要网络运营商升级他们的路由器。
Kent说:“如果RPKI能够解决80%或90%的问题,那么这将是一个巨大的好处。”“RPKI是以后做更有趣的事情的基础。”
路由攻击乘
中国电信事件是一系列备受关注的事件中的最新一起网络路由攻击例如,2008年2月巴基斯坦电信(Pakistan Telecom)让YouTube网站瘫痪了两个小时,2004年5月马来西亚ISP DataOne劫持了雅虎(Yahoo)圣克拉拉数据中心(Santa Clara data center)的流量。2020欧洲杯预赛
RPKI由互联网工程专责小组的安全域间路由(近年来)的工作小组,自2005年起一直致力于路由安全的工作。
RPKI允许isp和其他网络运营商生成数字签名,以验证他们有权力修改互联网资源,如IP地址或路由前缀。
大多数描述RPKI工作原理的标准文档都处于IETF的最后审批阶段。
肯特说:“人们一直在推动这些文件的发布并获得批准。”“我认为它们会在……明年第一季度出现。”
推动RPKI标准发布的一个因素是,区域互联网注册中心已经这样做了承诺开始发行产品质量证书,其成员。
注册中心已经工作了好几年,以获得支持RPKI的流程、程序和软件。他们还提高了数据库的准确性,这些数据库列出了分配给特定网络运营商的IP地址和路由前缀。
APNIC在生产模式中已经有了资源认证系统。其他几个注册中心,包括欧洲成熟的NCC,计划在2011年1月1日与他们的RPKI实现一起运行。
为北美的isp提供IP地址和路由前缀的美国互联网号码注册中心(ARIN)表示将提供支持RPKI2011年第二季度。
“ARIN计划在2011年第二季度初发布生产级资源认证服务,”马克Kosters博士,ARIN的CTO说。“有一个试点项目以来2009年6月已到位的临时措施”
网络运营商必须通过新的RPKI系统验证自己的IP地址和路由前缀与他们登记,他们将需要检查由注册表中创建,构建自己的路由过滤器的权威数据库。各种组织包括雷神BBN创建开源软件来处理这个额外的网络管理功能。
“对于那些非常小的isp来说,注册网站的设计使得这一点微不足道。他们必须做一次,然后设置,然后忘记它,”肯特说。“如果你是一家大型ISP,那么就需要花更多的精力将RPKI集成到你的整体系统中。”
如果企业希望获得RPKI提供的额外保护,那么将其网络多归属或在多个运营商之间分割网络流量的企业可以利用RPKI。
Huston说,企业网络管理人员应该支持RPKI的工作,因为它增强了互联网路由基础设施的安全性,并防止了窥探、流量重定向、分布式拒绝服务和中间人攻击。
“每个人都最终依赖于公共网络上,”休斯顿说。“企业民间用它的VPN,他们用它为面向公众的服务,他们用它为企业对企业的交流。如果你能颠覆路由系统和数据包发送给错误的地方的完整性,各种风险接着发生的“。
怀疑RPKI
不是每个人都认为RPKI会起作用。
“我对此并不过分乐观,”该公司的研究主管比尔·伍德科克(Bill Woodcock)说包票据交换所它提供了一种名为前缀健全检查器的开源软件,isp使用它来检查BGP路由过滤器中的错误。
“RPKI背后的理论是,你可以对你的路由声明进行加密签名,其他人会构建过滤器,不允许不包含加密签名的路由,”Woodcock解释道。“它比我们的软件更复杂,而且只有在另一端的人完成了加密操作后,它才能工作。”
伍德科克说,网络运营商在维护他们的IP地址的当前信息和由区域性的注册操作的数据库的路由前缀不好是众所周知的。而且他们也松懈使用软件如前缀理智检查,以避免拼写错误。这就是为什么他认为这是不可能有足够的互联网服务供应商将部署的东西一样复杂RPKI。
伍德考克补充说:“用户对此没有需求,这将使网络运营商难以接受。”
伍德考克说,网络运营商经常错误配置路由器,没有理由相信中国电信的事件是另一个错误。
“这让整个世界都感到尴尬,”他说。“如果是恶意的,很可能会采取完全不同的形式。在真正的攻击中,需要注意的是具体的个人目标,其流量被转移,并被掩盖。这太明显太明目张胆了。”
克雷格Labovitz,在首席科学家Arbor Networks他说,他无法判断中国电信的事件是意外还是恶意的。拉博维茨在15年前的博士研究中研究了路由前缀的错误。
“我不知道”,如果中国电信是恶意的,Labovitz说。“我们已经看到在过去的许多错误:错误和脂肪的手指和无能,但在同一时间,我们已经看到了垃圾邮件发送者恶意使用BGP的。”
拉博维茨说,网络运营商可以采取措施,比如过滤路由器公告,以避免从现在到RPKI广泛部署期间发生这类流量劫持事件。
拉博维茨说:“现在有些事情不需要额外的支出,不需要升级路由器就可以完成,但它们就是没有完成。”对于isp来说,一个最常见的做法是你应该过滤来自客户的路由声明。令人沮丧的是,15年过去了,互联网上有很大一部分人没有遵循最好的通用工程软件包。”
拉博维茨说,可能需要发生比中国电信更严重的路由事件,才能促使RPKI和BGP的安全部署。他以……为例Kaminsky它正在推动域名注册以支持新的安全措施。
DNS安全“采取了一个如此可怕的事件来强制采取行动,”Labovitz说。“也许越来越多的BGP事件将足以促使行业和政府达成共识,采取行动……我认为这是我们需要解决的问题,而我们已经时日无多了。”