美国联邦政府正在加速努力确保互联网的路由系统,计划今年国土安全部四投资研究旨在向路由器通信添加数字签名。
国土安全部说其路由安全工作将防止路由劫持攻击以及偶然的错误配置路由数据。努力是绰号BGPSEC因为它将确保互联网的核心路由协议被称为边界网关协议(东方)。(一个单独的联邦努力正在进行支持另一个互联网协议,DNS,法案同样被称为域名系统安全扩展)。
道格拉斯·莫恩的网络安全研发项目经理国土安全部科学与技术局,说他的路由器安全部门的支出将从每年600000美元左右上升在过去三年每年约250万美元从2009年开始。(读到“4开源边界网关协议项目资助”)。
“BGPSEC要花好几年的时间去通过开发和原型和标准化的过程中,“莫恩说。“我们真的说话。四年了,如果没有时间,我们看到部署。”
专家称赞此举,称边界网关协议是互联网的最薄弱环节之一。
“东方问题如此严重的原因是他们攻击互联网基础设施,而不是特定的主机。这就是为什么它是一个DHS-type问题,”史蒂夫说Bellovin,哥伦比亚大学的计算机科学教授曾与国土安全部路由安全。
边界网关协议是“一个在互联网上最大的威胁。这是令人难以置信的路由系统的不安全感,“全封闭丹尼·麦克弗森说Arbor Networks。“在过去的15年里,互联网路由系统的安全做了什么但恶化。”
麦克弗森说路由安全一直是一个“鸡生蛋还是蛋生鸡”问题的互联网社区工程。
“不存在谁拥有什么正式可核查的来源地址空间在互联网上,并没有你不能验证路由系统,”麦克弗森说。
额外的资金,国土安全部希望开发方式进行身份验证的IP地址分配以及路由器公告关于如何达到的IP地址。
“企图劫持,已经与路由更邪恶的DNS,”马克Kosters能够说,首席技术官的美国互联网数字(注册表后面瞎跑),并称DNS攻击倾向于获得更多的新闻。“人们没有意识到攻击边界网关协议结构。国土安全部努力试图关闭所有。”
2003年边界网关协议的安全目标
美国联邦政府首次讨论了互联网路由系统的脆弱性在其“国家战略安全的网络空间”,于2003年发布。总统指令确定了两个互联网协议——边界网关协议和DNS要求修改使他们更安全更健壮。
从那时起,联邦调查局在添加身份验证DNS上取得了进展。去年秋天,美国联邦政府宣布将在其gov法案同样采用DNS安全扩展称为域名系统安全扩展域到2009年底。联邦政府也正在探索法案同样部署域名系统安全扩展的方法域名根服务器。
联邦法案同样推动域名系统安全扩展势头去年夏天在一个重要的DNS漏洞被发现。安全研究员丹Kaminsky发现了一个DNS漏洞,允许缓存中毒攻击,黑客的重定向流量从一个合法的网站到一个假的一个用户不知情的情况下。
DNSSEC阻止黑客劫持网站流量通过允许网站来验证自己的域名和相应的IP地址使用数字签名和公钥加密
现在联邦政府正在寻求添加数字签名和路由信息的公钥基础设施,这是容易受到攻击时编号注册中心之间共享,互联网服务提供商和企业。
新边界网关协议的安全措施可以防止当巴基斯坦电信等事件阻塞2008年2月YouTube的交通。
Bellovin说最著名的router-security漏洞,包括巴基斯坦事件,事故。
不过,“越来越多的恶意,“Bellovin补充道。“每隔几周,将会有一个帖子(北美网络运营商集团)对一些前缀劫持。”
国土安全部基金多努力
国土安全部正在资助相关的两个关键举措增强路由安全:资源公钥基础设施(RPKI),增加认证注册的IP地址块的代表团互联网服务提供商和企业;和BGPSEC添加数字签名边界网关协议的公告。(莫恩说他建模BGPSEC倡议法案同样机构的域名系统安全扩展后的努力,参与了国家标准和技术研究院(NIST)和因特网工程任务组(IETF)。)
RPKI,区域互联网注册机构一起把公钥基础设施授权IP地址代表团互联网地址分配机构的五个区域互联网注册机构(IANA),包括后面瞎跑。然后注册中心将进行身份验证的分配IP地址和IP路由前缀称为自治系统所使用的网络运营商。
“这里的想法是,你想让代表团的地址空间是安全或签署了所以它不是可锻造的,“莫恩表示,并称RPKI倡议处理行政代表团的IP地址。“这很重要的原因是,当你开始做路由协议(安全),你想要注册或注册或ISP可以在地址空间的协议来验证他们声称是他们的。”
APNIC,亚太注册表,和欧洲注册表运行成熟的NCC RPKI原型。后面瞎跑计划提供一个βRPKI服务在第二季度,Kosters能够说。
生产型RPKI部署是“还几年了,”Kosters能够补充道。
“到今年年底,四大(注册中心)将为其成员提供证书至少作为托管服务,”斯蒂芬•肯特说在雷神BBN技术公司首席科学家信息安全。“下一个大的问题是大的isp是他们的成员。好消息是,我们在这里谈论的不需要路由器的硬件或软件更改。这是一个重要的事情,让它可行的isp。”
尽管它的承诺,RPKI是有争议的,因为它给了前所未有的操作权限IANA和区域互联网注册机构。例如,RPKI打开注册的可能性可能故意阻止流量路由到一个特定的IP地址块从一个流氓国家,如伊朗和朝鲜。
“如果你使用RPKI边界网关协议[安全],你从根本上改变互联网基础设施。你会从一个分布式的、自主经营的路由结构有一个根和权威来源,”麦克弗森说。“我们将不得不接受,权衡安全路由基础设施。”
下一步是确保边界网关协议路由公告授权。边界网关协议维护一个IP路由前缀,表显示的IP地址块可以达到。今天,没有办法在边界网关协议告诉路由消息是否真实或欺骗。
边界网关协议使用isp multihome以及企业网络,其中包括使用多个运营商业务的连续性。
问题在于如何将数字签名添加到边界网关协议以便互联网服务提供商和企业边界网关协议更新信息进行身份验证和防止中间人攻击,让别人重定向边界网关协议流量。
“每一个路由劫持的实例发生在过去的几年中证明保护边界网关协议需要做,“莫恩说。“坏人可以做到这一点的方式是宣传他们自己的地址空间,如果人们没有办法证明否则,那么协议支持劫持。”
互联网工程社会需要开发一个标准来保护边界网关协议,包含尽可能少的加密开销。现有的两个提案——安全边界网关协议(S-BGP)BBN的肯特和安全起源边界网关协议(SoBGP),思科——还没有部署,因为他们需要路由器管理太多的层的数字证书,专家说。
莫恩表示,国土安全部计划基金研究相关S-BGP SoBGP以及新标准在IETF的工作。
“没有任何新的边界网关协议的安全工作几年,”肯特说,并补充说他希望得到一些新的国土安全部的资助。“国土安全部正试图re-initiate这项工作。”
安全路由基础设施需要企业经营证书授权功能,这样他们就可以进行数字签名和证明他们自己的一个特定IP地址块和有权副代表,外包或做出其他决定如何路由流量。
什么保护边界网关协议是“当某人发送一个更新,他们现在路由流量为特定的自治系统,您可以验证,因为这些边界网关协议更新信息将签署,“莫恩说。
主要需要边界网关协议攻击?
尽管联邦政府的努力,一些专家说互联网工程社区需要一个巨大的威胁与Kaminsky DNS错误之前采取行动以确保边界网关协议和其他路由基础设施。
“真正的屏障保护边界网关协议是,我们只是还没有严重到攻击,“莫恩说。“如果人们开始失去重要的钱,因为有一些类型的攻击的路由基础设施,我认为你会看到很多更大的兴趣。”
在去年8月的防御,一双安全研究人员详细边界网关协议开发允许攻击者窃听非加密网络流量通过欺骗路由器到交通网络攻击者的重新定位。然而,这种类型的边界网关协议窃听事件是罕见的。
“最复杂的攻击防御都是一次可能并不经常发生因为坏人有更简单的方法来完成他们想做的事,”肯特说。
新BGPSEC资金属于国土安全部的安全协议路由基础设施程序。莫恩表示该机构收到额外的1250万美元拨款为网络安全研发2009年联邦预算,200万美元和300万美元之间,钱会去提高路由器的安全。