互联网的边界网关协议(BGP)似乎是黑客和独立国家眼里的新宠儿,不过BGP专家Wim Remes表示,滥用BGP绝不是什么新现象――确保BGP安全实际上相当简单。
Remes是Rapid7公司的欧洲、中东和非洲区(EMEA)战略服务经理,他说:“我认为,最大的问题是了解互联网上的信任。”Remes表示,有一些基本的方法可以严格确保BGP的安全,但是这么做的服务提供商或企业组织为数并不多。
Remes近日出席了拉斯维加斯召开的黑帽大会,他在题为《BPG安全现状》的分会上概述了BGP安全方面的观点。他说:“面向BGP的这些安全技术效果非常好,而且部署起来成本低廉,自治系统号(ASN)所有者缺少部署这些安全技术的动机。”
不过Remes表示,如今的一大首要问题却是互联网上的信任,爱德华•斯诺顿泄露颇有争议的美国国家安全局(NAS)监视行为之后,信任严重受挫。
与此同时,网络犯罪分子和独立国家日益滥用互联网底层的BGP流量路由架构,出于牟利或政治原因,劫持或扰乱网络。BGP有可能通过路由器假冒、分布式拒绝服务攻击和流量劫持而遭到滥用。
OpenDNS的 Dan Hubbard将在黑帽大会上发布一款新的免费工具,名为BGP Stream,它可以通过推文发布可疑的BGP/自治系统号(ASN)更新和变化方面的警示信息,那样网络所有者、互联网服务提供商(ISP)和主机托管提供商就能随时了解恶意的网络变化,这些网络变化可能会劫持或者以其他方式扰乱流量。OpenDNS的首席技术官Hubbard说,BGP是攻击者的武器库中的“新式家伙”。
Rapid7的Remes建议对BGP进行监控,另外加固BGP路由器和用来配置及监控BGP基础设施的系统,此外对那些系统实行“严格的访问控制”。
据Remes声称,为BGP路由系统部署资源公钥基础设施(RPKI)是另一种明显的安全方法。RPKI可以核实/验证分配的路由来自合法的来源,而不是恶意的来源,因而防止流量重新路由至恶意目的地。Remes表示,实施RPKI成本低廉,而且相当简单。他说:“路由器收到更新后,它们由本地的区域注册机构加以签名。”
他特别指出,部署来自RIPE的开源RPKI验证软件花不了15分钟。
他表示,ISP及其他大型企业组织可能会采用它。RPKI提供的核实/验证机制酷似DNSSec为DNS流量提供的那种机制。他表示,RPKI还让你可以“在你和同伴之间创建不同的信任级别”。
他表示,BGP监控是另一种简单而有用的做法。比如说,科罗拉多大学平时就收集和监控BGP流量,并提供实时的源源不断的BGP事件。Hurricane Electric这家互联网服务提供商就使用BGP仪表板和数据集用于跟踪BGP问题,Team Cymru也在监控BGP流量。
总部位于卢森堡的计算机紧急响应小组-卢森堡计算机事件紧急响应中心(CERT CIRCL)在运行BGP Ranking项目,该项目把BGP数据与恶意活动(恶意软件和IP黑名单)关联起来。
Remes说:“完全有大量的BGP数据可供使用。”
那么,企业应该如何做好BGP安全工作呢?他说:“明白你自己拥有哪些资产,监控你自己的自治系统号(ASN)或者是基于云的ASN。有人会将目光瞄准你或你依赖的服务,”所以跟踪BGP流量大有帮助,他如是说。
Remes表示,但是如今采用RPKI的组织其比例大概只有7%,据RIPE声称,到2020年连50%都达不到。据Remes声称,这不够好:“ASN所有者应该力争比这做得更好。”