美国联邦政府正在加快努力,今年,以确保互联网的路由系统,并计划为美国国土安全部以翻两番的研究,旨在将数字签名路由器通信投资。
DHS其路由安全的努力将防止路由劫持攻击以及路由数据的意外错误配置说。这种努力是绰号BGPSEC,因为这将确保互联网的被称为边界网关协议(BGP)核心路由协议。(一个独立的联邦功夫正在支持另一种互联网协议——DNS,它被称为DNSSEC。)
在国土安全部科学技术局网络安全R&d项目经理道格拉斯·莫恩说,他的部门对路由器的安全支出将会从大约$ 600,000每年上涨在过去三年约250万$,每年开始于2009年(阅读有关“4个开源项目BGP正在资助“。)
“BGPSEC将需要几年时间来完成开发、原型和标准化的过程,”莫恩说。“我们真的在谈话……四年之后,我们才会看到部署。”
专家称赞此举,称BGP是互联网上最薄弱的环节之一。
“究其原因BGP的问题是如此严重的是,他们攻击的互联网基础设施,而不是特定的主机。这就是为什么它是一个DHS型的问题,”史蒂夫Bellovin,哥伦比亚大学计算机科学系教授,谁曾与说在路由安全DHS。
BGP是“互联网上最大的威胁之一,这是难以置信的 - 路由系统的不安全性,”丹尼·麦克弗森,CSO在说Arbor Networks的。“在过去的15年中,互联网路由系统的安全性做了什么,但恶化。”
麦克弗森说,路由安全对互联网工程社区来说是一个鸡生蛋还是蛋生鸡的问题。
“这里不存在谁拥有在互联网上什么地址空间,并没有说你不能真正验证路由系统正式可验证的来源,”麦克弗森说。
凭借其额外资金,美国国土安全部希望开发的方式来验证IP地址的分配,以及如何达到IP地址块的路由器公告。
“已经走了与路由劫持企图是不是在DNS里的要更恶毒的,”马克Kosters博士,美国互联网号码注册的CTO(说ARIN),并补充说DNS攻击往往受到更多的关注。“人们没有意识到BGP结构对攻击是多么开放。国土安全部正努力关闭这一切。”
BGP安全目标在2003年
美国联邦政府首先讨论互联网的路由系统的脆弱性在其“网络空间安全国家战略“,它于2003年颁布总统令确定了两个互联网协议 - BGP和DNS - 这需要修改,使其更加安全可靠。
从那时起,联邦政府在增加DNS认证方面取得了进展。去年秋天,美国联邦政府宣布,到2009年底,将在其。gov域名上采用DNS安全扩展,即DNSSEC。联邦调查局也在探索在DNS根服务器。
联邦推动DNSSEC势头去年夏天显著DNS漏洞被发现之后。安全研究人员卡明斯基发现了一个DNS漏洞,允许缓存中毒攻击与黑客从合法网站到一个假的重定向流量,而不让用户知道。
DNSSEC允许网站使用数字签名和公开密钥加密来验证自己的域名和相应的IP地址,从而防止黑客劫持网络流量
现在,联邦政府正在寻求为路由信息添加数字签名和公钥基础设施,当这些信息在编号登记机构、isp和企业之间共享时,很容易受到攻击。
新的BGP安全措施能防止事故如当巴基斯坦电信受阻YouTube的2008年2月的流量。
Bellovin说,最有名的路由器安全漏洞,其中包括巴基斯坦事件,是意外。
“越来越多的人,虽然是恶意的,” Bellovin补充道。“每隔几个星期,就会有一个张贴到[北美网络运营商集团]的一些前缀劫持。”
向国土安全部提供资金支持
国土安全部正在资助两项与增强路由安全相关的主要举措:资源公钥基础设施(RPKI),它为注册机构委托isp和企业的IP地址块增加了身份验证;还有BGPSEC,它在BGP公告中添加数字签名。(莫恩说,他正在模拟BGPSEC的行动,该机构的DNSSEC的努力,其中包括国家标准与技术研究所[NIST]和互联网工程任务组[IETF]。)
有了RPKI,地区互联网注册机构正在建立一个公共密钥基础设施,以便将互联网号码分配机构(IANA)的IP地址授权给包括ARIN在内的五个地区互联网注册机构。然后注册中心将验证IP地址和IP路由前缀的分配,这些前缀被称为网络运营商使用的自治系统。
“这里的想法是,你想要的地址空间代表团是安全的或签字,所以它不是伪造的,”莫恩补充说,与IP地址委托的行政方面的RPKI主动交易。“这是很重要的原因是,当你开始做的路由协议[安全],你要注册表或注册商或ISP是协议来验证他们自称有地址空间是他们能够内。”
APNIC,亚太注册表,以及欧洲注册表RIPE NCC正在运行RPKI原型。ARIN计划推出第二季度公测RPKI服务,Kosters博士说。
具备生产质量的RPKI部署“还需要几年的时间”,Kosters补充道。
BBN技术公司信息安全首席科学家斯蒂芬•肯特表示:“到今年年底,四大注册机构将向其会员提供证书,至少是作为一种托管服务。”“下一个大问题是让作为其成员的大型isp参与进来……好消息是,我们在这里谈论的不需要路由器硬件或软件的改变。这对isp来说是一件很重要的事情。”
尽管其承诺,RPKI是有争议的,因为它提供了前所未有的操作权限,以IANA和地区性互联网注册管理机构。例如,RPKI开启了一种可能性,即登记可以专门阻止流氓国家如伊朗或朝鲜路由流量到IP地址的特定块。
“如果你使用带有BGP(安全)的RPKI,你就从根本上改变了互联网基础设施。您将从一个分布式的、自主操作的路由结构转变为一个具有根和权威来源的路由结构,”McPherson说。“为了确保路由基础设施的安全,我们将不得不接受这种权衡。”
下一步是确保BGP,使路由通告被授权。BGP维护IP路由,显示了如何IP地址块可以达到前缀的表。今天,在BGP没有办法知道路由通告是真实的还是伪造的。
BGP是由互联网服务供应商和企业使用的多宿主他们的网络,这包括使用业务的连续性不止一个载体。
目前的问题是如何向BGP添加数字签名,以便isp和企业能够验证BGP更新,并防止中间人攻击,允许某人重定向BGP流量。
“过去几年里发生的每一次路由劫持都证明了(保护BGP)的必要性,”莫恩说。“坏人能够做到这一点的方式,本质上是宣传他们拥有地址空间,如果人们没有办法证明,那么协议支持劫持。”
互联网工程社区需要开发用于保护BGP标准,涉及到尽可能少的加密开销可能。现有的两个提案 - 安全BGP(S-BGP)及Secure Origin BGP (SoBGP专家说,由于要求路由器管理太多层的数字证书,因此尚未部署。
莫恩说,国土安全部计划资助与S-BGP和SoBGP相关的研究,以及IETF内的新标准工作。
“目前还没有在几年的BGP安全的任何新的工作,”肯特说,并补充说,他希望得到一些新的国土安全部资助。“国土安全部正试图重新启动这项工作。”
一个安全的路由基础设施将要求企业经营认证功能,让他们可以进行数字签名,并证明他们拥有一个特定的IP地址块,并有权力subdelegate它,它外包,或者讲它的访问流量是怎样路由的一些其他决定。
什么固定BGP确实是,“当有人发出一个更新,他们现在的路由发送给特定自治系统中,你可以验证,因为这些BGP更新将签署,”莫恩说。
需要大规模的BGP攻击吗?
尽管联邦政府的努力,一些专家说,互联网工程社区需要一个巨大的威胁,如同对卡明斯基DNS漏洞的时候,才采取行动,以确保BGP和路由基础设施的其余部分。
“真正的障碍,确保BGP的是,我们只是还没有一个足够严重的攻击,”莫恩说。“如果人们开始失去显著的钱,因为有一些类型的路由基础设施受到攻击,我想你会看到很多更多的利益。”
在去年8月DEFCON秀,对安全研究人员的一个详细BGP利用这将允许攻击者通过诱骗路由器将网络流量重定向到攻击者的网络来窃听未加密的互联网流量。然而,这种类型的BGP窃听事件是罕见的。
“截至DEFCON被证明最复杂的攻击是可能不发生的非常频繁,因为坏人有更简单的方法来完成他们正在尝试做的事情,”肯特说。
BGPSEC的新资金属于国土安全部的路由基础设施安全协议程序。莫恩说,该机构收到的网络安全R&d额外的$ 12.5万拨款联邦2009年预算,200万$和$的钱万到300万将去提高路由器的安全性。