澳大利亚杰夫·休斯顿(Geoff Huston)是互联网路由和扩展问题的最重要当局之一。我们向休斯顿发送了一些有关美国政府计划提高研发计划以确保互联网核心路由协议(BGP)的问题的问题。这是休斯顿所说的摘录。
澳大利亚杰夫·休斯顿(Geoff Huston)是互联网路由和扩展问题的最重要当局之一。我们向休斯顿发送了一些有关美国政府计划提高研发计划以确保互联网核心路由协议的问题,即边界网关协议(BGP)。以下是休斯顿所说的摘录:
您在美国国土安全部资源公共密钥基础设施计划(RPKI)中的作用是什么?
我是APNIC的首席科学家,亚太地区的区域互联网注册表(RIR),在这一职位上,我一直在领导APNIC努力介绍数字资源的数字认证。我也是互联网工程工作组(IETF)安全间路由工作组(SIDR WG)的联合主席,该组合旨在开发旨在生产用于域间路由的安全机制的标准技术。我不是由美国国土安全局资助的,但我在这方面有他们的关注。我与许多得到美国研究补助金支持的研究人员合作。
您能用简单的英语解释RPKI试图做什么以及它与改善Internet路由系统的安全性有何关系?
对路由系统的攻击可能会导致结果,这些结果使许多常规的安全防御形式变化,并以极难检测到的方式发生。路由攻击可以“劫持”地址,将用户的流量重定向到预定的目的地以外的其他地方,从而使攻击者可以“欺骗”预期受害者的身份。路由攻击也可以重定向流量流动,从而使攻击者可以在不了解任何一方的情况下检查运输流量。路由攻击可能会破坏网络,导致混乱和破坏,要么针对一个受害者,或者更普遍地是在地址集合或基础架构元素(例如DNS服务器)中。
所有这些攻击都取决于BGP的一项功能:政党在路由和谎言中“撒谎”的能力,可以在整个网络中传播,而不容易被视为谎言。RPKI是一种机制的重要组成部分,该机制允许使用自动化过程的其他所有人都可以轻松地识别此类路由。换句话说,RPKI不会改变域间路由的基本机制,也不会阻止恶意人在试图在域间路由环境中产生谎言。但是,随着路由信息通过路由结构传递,其他各方可以使用工具和加载到RPKI中的信息来验证路由信息的准确性和真实性,并正确确定无效路由信息或谎言的实例。
RPKI努力的状态是什么?
在软件中,正在进行许多努力,以提供实施RPKI服务的工具。其中包括由APNIC撰写的RPKI软件套件,该套件是由Internet软件财团生产的一组工具
(ISC)得到美国互联网号码注册表的支持,以及BBN开发的工具。
在标准活动中,我们已向SIDR WG提交了许多文档,以进行标准化,这些文档基于早期将IP地址属性添加到数字证书的工作。
在2008年底,APNIC是第一个将RPKI证书出版的RIR作为其向Apnic Resource持有人提供的服务的一部分。APNIC管理的IP地址资源的持有人现在可以使用APNIC服务系统生成可用于验证有关IP地址及其使用的数字签名的数字证书。
接下来的步骤将使用此框架来生成工具,这些工具允许ISP和企业在数字上签署与路由断言相关的“权限”,并提供允许ISP和其他人通过将这些签名的当局与路由匹配的工具来验证路由信息信息通过域间路由系统传递。这些工具的规范是SIDR WG中当前正在进行的任务。
RPKI何时可能部署?
RPKI的一部分,特别是由APNIC管理的资源认证,已经部署。在北美以及欧洲和中东地区也在进行类似的努力。因此,我想,我能提供的最好的答案是:现在正在发生。
当部署RPKI时,企业网络经理是否需要做任何事情或升级任何事情或购买任何与之兼容的东西?
在APNIC中,我们努力减轻企业和ISP的负担。一些大型组织已经在PKI基础架构和主要管理制度上进行了大量投资,并且可以预测他们希望将RPKI Systems作为内部运营运营。为了协助此类别的用户,SIDR WG将为他们提供针对RPKI组件的标准规格,这些规范已在RPKI的多个实现中进行了测试。
其他人会寻找一种使用这种技术的方法,最好是不涉及额外的成本。在APNIC中,作为我们启动RPKI服务的一部分,我们包括为会员提供在线托管RPKI服务。APNIC成员可以使用此在线系统来生成RPKI证书,以数字方式签署路由当局并证明并通过此托管服务来验证这些数字签名的对象。虽然企业网络经理将需要花费一些时间和精力来了解RPKI的价值及其可用于确保其路由广告的方式,但他们将不需要购买新设备,设计新的安全流程甚至升级他们使用RPKI的路由系统。我们已经努力为企业网络经理创建一个选项,以在稳健,快速且没有增量成本的路由基础架构中包括安全性。
RPKI将允许企业网络管理器创建一个数字权限,该数字权限清楚,明确地说明:“这些是我的IP地址,这是我的自主系统编号。”它还允许网络经理公开证明:“我将在域间路由系统中宣传以下路线。如果您看到这些地址的任何其他形式的路由广告,则应未经授权,并应丢弃。”
您能解释一下RPKI如何处理DHS计划帮助开发的BGP安全机制?
BGP是信息分发协议。这是一个“洪水”协议,允许一个方“创建”独特的信息,以及所有其他各方“聆听”该信息。确保BGP的任何方法都必须回答的两个问题是:首先,我听到的信息是否准确地副本了原始信息,反映了合法地址的可达性?其次,信息分布功能是否正确运行,以便我听到的此信息是当前且准确的,就可以达到合法地址的转发决定吗?”
SIDR WG中开发的方法允许地址前缀的持有人在数字上签署与启动路由广告的权威有关的证明,并使用RPKI出版机制来分发此权限。BGP更新的接收器可以检查更新中与RPKI中发布的当局集合所提供的信息,并根据RPKI中发布的“真实”当局接受或拒绝更新。BGP本身根本不必改变,超越了采用安全路由的主要障碍之一,即需要使用新版本的BGP升级路由器。RPKI的性质使得不可能在未分配给签名者的地址上以数字方式签名。因此,在RPKI的背景下,无法签署“被盗”地址。
第二个问题与整个域间路由空间之间信息的传播有关。在探索各种替代方案的方法中,仍然有一些积极的工作,以确保在BGP更新的AS路径属性中隐含地携带的传播路径。一旦有关安全要求的探索性工作达到足够的清晰度,SIDR WG旨在在该领域开发一些方法。预计这项工作将在未来几个月内开始。
您正在做什么与确保BGP有关的工作?
我是有关确保BGP的许多互联网草案的作者,并且我写了许多有关该主题的论文和文章,因此这是我目前非常重要的一部分。
我一直在Swinburne Technology与Grenville Armitage教授合作,以研究BGP更新的动态行为,并研究简单的本地启发式方法可以应用于BGP更新消息的处理。希望该研究计划的一个结果是处理BGP更新的框架,该框架将大大减少潜在的工作量,以验证BGP更新的安全凭据。
您认为,通过RPKI和某种BGP安全性扩展确保了Internet路由协议的重要性?
路由仍然是安全性的漏洞。在2008年初,我们看到YouTube在全球脱离线路由不幸起源于巴基斯坦电信。路由中的“谎言”太容易传播了,这在当今的互联网中是一个严重的脆弱性。
如果关于地址和路由的“谎言”成功,那么许多其他攻击是可能的。可以通过通过路由劫持来重新定位网站的IP地址来劫持受害者的网站。在模仿各种信任系统(包括DNS的根源)的根源方面,可以使用更阴险的攻击形式。这种攻击形式很难检测到,并且具有多个间接级别的攻击的潜在能力使追踪攻击非常具有挑战性。
还有可能通过注入简单“黑洞”流量,防止DNS解决并删除大量基础架构和服务的虚假路由信息来造成混乱和破坏。注入大量地址的虚假路线有可能“关闭”整个国家或地区……开始陷入各种网络战争方案。
2007年5月,对爱沙尼亚的“攻击”是一次简单的Ping洪水攻击。想象一下,如果攻击是BGP攻击的性质,则将针对爱沙尼亚网络的流量重定向到了不存在的下沉点。结果将实际上是整个国家基础设施的断开连接。
国土安全部今年将大大提高其与RPKI和BGP安全有关的投资有多重要?
从事与安全有关的活动的问题的一部分是,这是每个人的问题,也没有人的问题。没有个别ISP可以独立于其他所有人“解决”问题“解决”安全域的路线,因此工作通常会被放入“太难”的篮子中,没有人会发现它是为了解决问题的个人利益。
那是美国国土安全部等人,以及像apnic和arin这样的人当然可以有所作为,因为我们可以做的一件事就是采取更大的观点,并处理确实是每个人问题的问题,并创建解决方案,并创建解决方案,并创建解决方案。行业可以以一种为每个人,用户,网络运营商,服务提供商和企业都提供更好的网络环境的方式来接收的。
因此,我认为DHS的努力在这一领域非常积极,我们期待与DHS民间的合作以及他们将支持的计划作为他们的活动的一部分。显然,我们所有人都希望在这个领域中脱颖而出,而DHS在此类协作努力中是非常有益的影响。