美国国土安全部有花了300万美元在过去的几年里,研究旨在抵抗安全互联网的路由系统。
现在,由于这项研究正在互联网上部署,DHS希望政府机构及其运营商成为它帮助创造的新资源公钥基础设施(RPKI)系统的最早采用者中。
还阅读:修复中国互联网交通劫持1月份
DHS考虑RPKI系统是一种急需的第一步,安全地保护Internet的核心路由协议,该协议被称为边框网关协议(BGP)。除了支持RPKI的支持外,DHS还花费约100万美元的研究和软件开发,旨在直接向BGP添加安全性。
RPKI.通过向Internet注册表和网络运营商之间的通信添加一层加密来帮助提高路由安全性。使用RPKI,网络运营商可以验证它们是否有权将流量路由为IP地址块或被称为自主系统编号的路由前缀。
RPKI旨在防止互联网路由攻击和意外,如最近的中国电信互联网交通劫持事件这是在国会山上受到关注。
RPKI类似于DHS支持的另一个新的Internet安全机制,它是DNS安全扩展(DNSSEC)。DNSSEC是一种互联网标准,可以通过允许网站验证其域名和使用数字签名和公钥加密的相应IP地址来防止欺骗攻击。需要联邦机构采用DNSSEC.在2009年。
有个足球雷竞技appDHS科技局内网络安全部主任Doug Maughan采访了Doug Maughan。以下是与MAUGHAN关于RPKI的对话以及联邦机构及其运营商是否需要采用它:
DHS对路由安全性的地位是什么?
大多数项目都以RPKI和BGP安全为中心。
RPKI正在前进互联网工程工作组。我们正试图帮助确保事物的标准方面取得进展,因此我们不仅仅是创建一个专有的解决方案。我们正在为事物的软件开发方面提供资金,以确保当我们在RPKI进行商定的协议规范时,我们还具有可以为社区开放的工作软件。我们将继续在2011年为RPKI提供软件开发,以及标准活动。
我们的第二份努力是BGP安全性,这是开发新的协议规范。它正在进行中。我们希望它将发布本财政年度,并且它将在IETF中进行迭代或两个,这将使我们每两年一次。我们已经开始执行了实施。它改变了BGP工作的方式,就像我们一样DNSSEC.。在不久的将来的某些时候,我们将释放设计,然后制作一个开源版本的BGP安全协议可用。
网络运营商是否应该需要RPKI?如果是这样,由谁?
每个[区域互联网注册表]有一个不同的工作模型。APNIC.[亚太登记处]有一个自上而下的模型,他们可以告诉他们所有的成员,他们会这样做。成熟[欧洲注册表]有类似的模型。但阿林[北美注册表]有一个自下而上的模型。除非其所有成员都同意,否则Arin不会强迫任何事情。许多主要的ISP都说他们想要路由安全。我们需要告诉他们,我们认为RPKI将提供。因此,下一步是继续推动RPKI的技术完成,获得工作实现,同时工作更加营销和政治路径。
联邦CIO是否要求联邦机构采用类似于DNSSEC的要求类似的RPKI?
我们正在与[国家标准与技术研究院]。我们的意图与DNSSEC的模型非常相似。我们正试图在RPKI方面工作相同的问题。我不认为它将在2011年更新到[联邦信息安全管理法案]因为我们不够远。我们不太在于BGP安全方面。我们的意图是......有政府安全要求,他表示运行自己的基础设施的机构必须支持RPKI。如果他们通过[合同]就像这样做托管服务mtips.,那些提供这些服务的供应商必须支持RPKI。这是我们使用的模型。它在DNSSEC上工作得很好,我们认为它将在RPKI和路由安全上工作。我们的目标是让政府成为早期的采用者。
您对RPKI如何采用的速度是什么?
APNIC,成熟和ARIN已经完成了一些飞行员。从现在起一年,我们不会说它已经完成了。但我希望至少我们将完成飞行员并与这些注册机构进行运作。路由安全将携带其他几年。我们必须为关键的ISP和关键互联网基础设施提供商进行营销,并使业务案例进行跳跃。我们的目标是,在几年内,RPKI就在那里。希望到那时,BGP安全协议将完成,然后我们可以开始工作。我们预算支持300万美元至2016年的300万美元的路线安全研究。
几年前,DHS在推广DNSSEC时发挥了类似的作用,因为它今天正在进行路由安全性。您对DNSSEC采用的看法是什么?
我很乐观。签署了60多个区域。在我脑海中的关键是结果.org的运营经验。他们看到DNSSEC对其运营表现的最小影响。每个人都声称它的影响将是30%至50%的绩效命中,但是.org将告诉你这不是这种情况。我们已经能够撼动对阵观众的任何表现问题,并展示了它的工作原理。现在我们得到了.net和.com签。我们开始与PayPal和Google等主要公司的Cisos进行讨论,以便现在正在签署,您的计划是什么?我们今年取得了很大的进步。我们签署了根,有人说永远不会发生。
DHS在互联网安全方面进行了哪些新举措?
我们一直在做的唯一其他事情僵尸网络检测技术。我们一直是大资助者。
在路由方面,我们资助了许多的发展工具喜欢前缀Sanity Checker。我们是俄勒冈大学的路线视图落后的资金从批处理系统到实时系统。当巴基斯坦电信对YouTube的攻击发生在2008年时,路线视图没有看到80分钟。随着中国电信攻击,他们在30秒内看到它。
如果您要向一个充满公司CIO的房间,您会向他们提供互联网安全的建议?
我会鼓励他们尽快进入DNSSEC的潮流,特别是如果他们是DOT-COM。这成为他们为自己的基础设施提供另一种安全性的方式,并为使用他们的基础架构的人提供一层。我至少会让他们意识到RPKI并告诉他们它需要在他们的路线图上。虽然它今天不可用,但它会脱落派克。另一件事我告诉他们是与研发社区联系,利用可能来自僵尸网络的一些可能是更具创新的安全技术内幕威胁检测身份技术。我们正在努力将研究社区与运营社区联系起来,以便CIO和CISO在稍后意识到新的安全技术。