政策制定者们不同意是否最近的中国劫持的网络流量是恶意的或意外的,但毫无疑问关于这一事件的根本原因:缺乏内置安全在互联网的主要路由协议。
网络工程师一直在谈论这个弱点在互联网基础设施长达十年之久。现在修复终于在路上。
1月1日开始,互联网注册机构将添加一层加密业务,互联网服务提供商和其他网络运营商可以验证他们有权路线交通一块称为自治系统的IP地址或路由前缀数字。
修复——被称为资源公钥基础设施(RPKI)——并不完美。它需要采用所有的互联网注册机构以及主要的isp之前可以提供大量的保护事件例如当中国电信劫持4月份全球互联网流量的15%。
RPKI的支持者说这是一个急需改善的第一步的安全边界网关协议(东方),这是互联网的核心路由协议。
不是每个人都认为它将工作。
至少RPKI,如果广泛采用,应防止isp意外扰乱互联网流量的流动与错误的路由信息。
首席科学家杰夫•休斯顿亚太网络信息中心(APNIC),说RPKI将消除许多路由事件包括中国电信劫持时加上后续工作旨在保护边界网关协议的路线。
”总体工作的目的,这涉及到RPKI作为底层安全平台和安全边界网关协议的签署凭证引入路由系统,是使在于路由系统会自动检测到,因此,自动移动,”休斯顿说。“这将消除大量类问题…这样一个系统将直接解决(中国电信)事件。”
RPKI发展努力的部分资金由美国国土安全部,已成为支撑的安全互联网路由系统一个关键的网络安全倡议。
多快RPKI将采用是未知的。在公司帮助设计RPKI思科,谷歌,德意志电信公司,日本电报电话公司,冲刺和Equinix的。
“RPKI将解决绝大多数的路由问题出现,但这不是最终的解决方案,”斯蒂芬•肯特说在雷神BBN技术公司的首席科学家信息安全,贡献者RPKI标准努力。
肯特说RPKI必须遵循通过增加路由路径的安全边界网关协议,这是在发展。这个边界网关协议更新将需要更长的时间和更昂贵的比RPKI部署,因为它要求网络运营商升级他们的路由器。
“如果事实证明RPKI解决80%或90%的问题,还有一个巨大的好处,”肯特说。“RPKI的基础做更漂亮的东西。”
路由攻击乘
中国电信事件是最新的一系列引人注目的网络路由攻击,比如当巴基斯坦电信了YouTube的网站2008年2月两个小时或者当马来西亚ISP DataOne劫持了雅虎的圣克拉拉的流量数据中心在2004年5月。雷竞技电脑网站
RPKI是由互联网工程任务组的安全域间路由(近年来)工作小组,自2005年以来一直致力于路由安全。
RPKI允许互联网服务提供商和其他网络运营商来生成数字签名,验证他们有权更改网络资源(如IP地址或路由前缀。
最标准的文档描述RPKI作品在IETF的最后阶段的批准。
“有把这些文件和批准,”肯特说。“我认为他们将会向外通过明年第一季度…。”
一个因素驱动的释放RPKI标准区域互联网注册机构已经承诺其成员开始发行生产证书。
注册中心已经工作了好几年的流程、程序和软件支持RPKI到位。他们还在改进他们的数据库列表中IP地址的准确性和路由前缀分配给特定的网络运营商。
APNIC已经有一个资源认证系统在生产模式。几个其他注册中心,包括欧洲成熟的NCC的计划去生活在他们实现RPKI 1月1日,2011年。
美国互联网注册号码(后面瞎跑),为互联网服务提供商提供IP地址和路由前缀在北美,表示将支持RPKI在2011年第二季度。
“后面瞎跑计划发布一个产品级资源认证服务在2011年第二季度早期,”马克Kosters能够说,首席技术官的后面瞎跑。“有一个试点项目作为临时措施,在2009年6月以来的地方。”
网络运营商必须验证他们的IP地址和路由前缀与他们通过新的RPKI系统注册,他们将需要检查权威数据库创建的注册中心构建他们的路由过滤器。各种组织包括雷神BBN创造了开源软件处理这些额外的网络管理功能。
“很小的isp,门户网站设计[注册]使这个简单的。他们必须做一次,并设置它,忘记它,”肯特说。“如果你是一个大的ISP,那么它将需要更多的努力(RPKI)集成到你的整个系统。”
企业多主网络,或者分裂多个运营商之间的网络流量,可以利用RPKI如果他们希望它所提供的额外保护。
休斯顿表示企业网络管理人员应该支持RPKI努力,因为它支持互联网的路由的安全基础设施和防止探听,流量重定向、分布式拒绝服务攻击和中间人攻击。
“每个人都最终依赖于公共网络,”休斯顿说。“企业民间使用vpn,他们面临的公共服务的使用它,他们用它来b2b通信。如果你能颠覆路由系统的完整性,将数据包发送到错误的地方,各种风险随之而来。”
怀疑RPKI
并不是每个人都认为RPKI工作。
“我不是过于乐观,”Bill Woodcock说研究主任包票据交换所提供开源软件被称为互联网服务提供商使用的前缀的完整性检查程序检查边界网关协议路由过滤器错误。
“RPKI背后的理论是,你能做一个加密签名你的路由公告,其他人将建立过滤器不允许路线,不包括加密签名,”伍德考克解释说。“这是更复杂的比我们的软件,它只能如果在另一端的人做了这个加密操作。”
丘鹬维持当前的网络运营商是出了名的坏说他们的IP地址和路由前缀信息数据库的地区注册。和他们也松懈的关于使用软件如前缀完整性检查程序,以避免输入错误。这就是为什么他认为不太可能足够的isp将部署RPKI一样复杂的东西。
“没有用户需求,这将使它很难补习网络运营商的喉咙里,”伍德考克补充道。
丘鹬说网络运营商经常错误地配置路由器,没有理由认为,中国电信事件是另一个错误。
“这是一个尴尬给全世界看,”他说。“如果是恶意,很有可能会采取一个非常不同的形式。…寻找的东西在一个真正的攻击将特定的个人目标的交通被转移和掩盖事实。这是如此明显,明目张胆的。”
克雷格•拉博首席科学家Arbor Networks说,他不能告诉,如果中国电信事件是偶然的或恶意的。拉博研究中的错误路由前缀15年前他的博士学位研究。
”我不知道“如果中国电信被恶意,博维说。“过去我们看到许多错误:错误和胖手指和无能。但与此同时,我们看到恶意使用垃圾邮件发送者的东方。”
博表示,过滤路由器等网络运营商可以采取措施公告,以避免这些交通劫持事件从现在当RPKI广泛部署。
“有今天可以做的事情没有任何额外支出,没有升级路由器,但他们只是不做,”博说。“互联网服务提供商的最佳惯例是,你应该从你的客户筛选路由公告。这有点令人沮丧的15年之后,我们有大部分的互联网不遵循最常见的工程包。”
博表示,它可能需要一个更重要比中国电信路由事件促使部署RPKI和边界网关协议的安全性。他指出了的例子Kaminsky威胁,这是推动域名注册来支持新的安全措施。
DNS安全”是如此可怕的事件迫使采取行动,”博说。“也许越来越多的边界网关协议事件足以推动行业和政府采取行动的共识…我认为这是我们需要修复,我们借来的时间。”