美国联邦政府正在加快努力确保互联网路由系统的安全,国土安全部今年计划将其在路由器通信中添加数字签名的研究投资增加四倍。
国土安全部称其路由安全努力将防止路由劫持攻击以及路由数据的意外错误配置。这项努力被戏称为BGPSEC,因为它将保护互联网的核心路由协议,即边界网关协议(BGP)。(一个单独的联邦努力正在进行推动另一个互联网协议,DNS,它被称为DNSSEC。)
国土安全部科学技术理事会(DHS Science and Technology Directorate)网络安全研发项目经理道格拉斯·莫恩(Douglas Maughan)说,国土安全部在路由器安全方面的支出将从过去三年的每年约60万美元增加到2009年的每年约250万美元。(读到“4个开源BGP项目正在被资助”)。
“BGPSEC将需要几年的时间才能经历开发和原型和标准化的过程,”穆罕佳说。“我们真的在说话。。。在我们看到部署之前,四年来,如果不再。”
专家对此举表示欢迎,称BGP是互联网最薄弱的环节之一。
“BGP问题如此严重的原因是,它们攻击的是互联网基础设施,而不是特定的主机。这就是为什么它是一个DHS类型的问题,”史蒂夫·贝洛文说,他是哥伦比亚大学计算机科学教授,曾与DHS一起研究路由安全。
BGP是“互联网上最大的威胁之一。路由系统的不安全性令人难以置信。Arbor Networks。“在过去的15年里,互联网路由系统的安全性除了恶化什么都没做。”
麦克弗森表示,路由安全是互联网工程界的鸡蛋问题。
McPherson说:“在互联网上没有一个正式的可验证的来源来说明谁拥有哪个地址空间,没有这个,你就不能真正验证路由系统。”
有了额外的资金,国土安全部希望开发出验证IP地址分配的方法,以及关于如何到达IP地址块的路由器通告。
“通过路由进行的劫持企图比在DNS中进行的要邪恶得多,”Mark Kosters说,他是美国互联网号码注册中心(后面瞎跑),添加DNS攻击往往会得到更多的新闻。“人们没有意识到攻击的开放是如何开放的BGP结构。DHS努力正试图关闭这一切。”
2003年的BGP安全性
美国联邦政府第一次在其官方网站上讨论了互联网路由系统的脆弱性。保护网络空间的国家战略,出版于2003年。总统的指令确定了两个互联网协议——BGP和DNS——需要修改以使它们更安全、更健壮。
从那时起,美联储在为DNS添加身份验证方面取得了进展。去年秋天,美国联邦政府宣布,在2009年底,它将在其.gov域中被称为DNSSEC的DNS安全扩展。联邦调查局还在探索部署DNSSEC的方法域名根服务器。
去年夏天,在发现一个重要的DNS漏洞后,联邦政府对DNS安全系统的推动获得了动力。安全研究员丹·卡明斯基(Dan Kaminsky)发现了一个DNS漏洞,可以进行缓存投毒攻击,黑客可以在用户不知情的情况下将流量从合法网站重定向到虚假网站。
DNSSEC通过允许网站验证其域名和使用数字签名和公钥加密来防止黑客劫持Web流量
现在,联邦调查局正在寻求向路由信息添加数字签名和公钥基础架构,当时在编号注册机构,ISP和企业之间共享时易受攻击。
新的BGP安全措施将防止巴基斯坦电信等事件阻塞2008年2月YouTube的流量。
贝洛文说,最著名的路由器安全漏洞,包括巴基斯坦事件,都是事故。
贝洛万补充道:“然而,越来越多的人是心怀恶意的。”“每隔几周,(北美网络运营商集团)就会收到一则关于前缀劫持的帖子。”
DHS资助多项努力
DHS正在资助与增强路由安全性有关的两个关键措施:资源公钥基础架构(RPKI),该基础设施(RPKI)向ISP和企业的注册管理机构向IP地址块代表团增加身份验证;和BGPSEC将数字签名添加到BGP公告。(Maughan表示,他在原子能机构的DNSSEC努力之后建立了BGPSec倡议,该努力涉及国家标准和技术研究所[NIST]和互联网工程工作组[IETF]。)
通过RPKI,区域互联网注册管理机构正在将公共关键基础设施汇集在一起,以授权互联网分配号码(IANA)的IP地址代表团到包括ARIN的五个区域互联网注册管理机构。然后,注册管理机构将验证IP地址和IP路由前缀的分配,称为网络运营商使用的自主系统。
“这里的想法是,你希望地址空间的委托是安全的或有签名的,所以它是不可伪造的,”Maughan说,并补充说,RPKI倡议处理IP地址委托的管理方面。“重要的原因是,当你开始做路由协议[安全]时,你希望注册商或注册商或ISP能够在协议内验证他们声称拥有的地址空间是他们的。”
APNIC、亚太注册中心和欧洲注册中心RIPE NCC正在运行RPKI原型。Kosters表示,ARIN计划在第二季度提供测试版RPKI服务。
生产质量的RPKI部署是“仍然是几年,”Kosters增加了。
“到今年年底,这四大最大的[注册管理机构]将至少作为一项托管服务向其成员提供证书,”BBN技术信息安全的首席科学家Stephen Kent表示。“下一个大问题是获得所涉及的成员的大型主义者。。。。好消息是我们在这里谈论的是,没有路由器硬件或软件更改。这是使ISP可行的重要事项。“
尽管它做出了承诺,但RPKI仍存在争议,因为它赋予IANA和地区互联网注册前所未有的运营权力。例如,RPKI开辟了一种可能性,即注册中心可以有意停止从伊朗或朝鲜等流氓国家发送到特定IP地址块的路由流量。
“如果您使用带有BGP [安全性]的RPKI,您将从根本上改变互联网基础架构。您将从分布式,自主操作的路由结构中与根本和权威来源一起,”麦克弗森说。“我们将不得不接受这种权衡来保护路由基础设施。”
下一步是保护BGP,使路由公告得到授权。BGP维护了一个IP路由前缀表,用来显示IP地址块的到达方式。今天,在BGP中没有办法分辨路由公告是真实的还是欺骗的。
BGP不仅适用于isp,也适用于那些使用多家网络的企业,即使用多个运营商进行持续运营。
问题是如何将数字签名添加到BGP,以便ISP和Enterprises可以验证BGP更新并防止允许某人重定向BGP流量的中间攻击。
“在过去几年中发生的劫持劫持的每个例子都是证明需要完成[安全BGP],”穆罕默斯说。“坏人可以做到这一点的方式基本上是宣传他们拥有的地址空间,如果人们没有办法证明否则,那么协议支持劫持。”
Internet工程界需要开发一种标准来保护BGP,该标准涉及的加密开销尽可能少。现有的两个提议——安全BGP (S-BGP.),由BBN的Kent和Secure Origin BGP (SoBGP专家说,由Cisco - 尚未部署,因为他们要求路由器管理太多的数字证书层。
Maughan表示,DHS计划基于与S-BGP和SOBGP相关的研究以及IETF内的新标准工作。
肯特说:“几年来在BGP安全方面没有任何新的工作。”他补充说,他希望得到一些新的国土安全部的资助。“国土安全部正试图重新启动这项工作。”
一个安全的路由基础设施将要求企业运行一个证书颁发机构功能,以便他们能够进行数字签名和证明他们拥有一个特定的IP地址块,并有权再委托它、外包它或对其流量如何路由做出一些其他决定。
保护BGP的作用是:“当某人发送一个更新,他们正在为一个特定的自治系统路由流量时,你可以验证,因为这些BGP更新将被签名,”莫恩说。
需要大的BGP攻击?
尽管联邦政府做出了努力,但一些专家表示,互联网工程界需要一个类似卡明斯基DNS漏洞的大规模威胁,才能采取行动保护BGP和其他路由基础设施。
“保护BGP安全的真正障碍是我们还没有受到足够严重的攻击,”莫恩说。“如果人们因为路由基础设施受到某种类型的攻击而开始损失大量资金,我认为你会看到更多的利益。”
在去年8月的DEFCON秀上,两位安全研究人员详细介绍了一个边界网关协议开发这将允许攻击者通过欺骗路由器进入攻击者网络的流量来窃听未加密的互联网流量。然而,这种类型的BGP窃听事件是罕见的。
肯特说:“正如在《防卫战》中所展示的那样,最复杂的攻击可能并不经常发生,因为坏人有更简单的方法来完成他们想要做的事情。”
新的BGPSec资金落在DHS的安全协议下进行路由基础设施程序。莫恩说,该机构在2009年的联邦预算中获得了额外的1,250万美元用于网络安全研发,其中200万至300万美元将用于改善路由器安全。