白宫周二表示希望加强互联网路由的薄弱安全性,特别是边界网关协议(BGP)。
BGP 或多或少将我们所知的互联网连接在一起。它用于管理您的在线流量在网络(称为自治系统或 AS)之间所采用的路由,这些网络共同构成了互联网。正如白宫国家网络总监办公室 (ONCD) 今天发布的《加强互联网路由安全路线图》中所述,BGP 的设计并未考虑到安全性。
报告[PDF] 指出:“根据最初的设计和目前的普遍运行,BGP 无法为我们目前面临的风险提供足够的安全性和弹性功能。人们对基本漏洞的担忧已经持续了 25 年多。”
BGP 不会检查宣布流量路径更改的远程网络是否有权这样做。它也不会验证网络之间交换的消息是否真实,或检查路由公告是否违反相邻网络之间的业务策略。
其结果是,BGP 路由劫持现象由来已久,例如 2008 年巴基斯坦干扰YouTube 流量,或者 2022 年俄罗斯在入侵乌克兰时利用 BGP 漏洞限制 Twitter 流量。
报告称:“路由劫持可能会泄露个人信息,造成盗窃、勒索和国家级间谍活动,破坏安全关键交易,并破坏关键基础设施运营。虽然大多数 BGP 事件都是意外的,但对恶意行为者的担忧已将这一问题提升为国家安全优先事项。”
6 月,美国司法部和国防部致函[PDF] 美国联邦通信委员会,就该通信机构决定调查安全互联网路由一事致函。美国司法部和国防部赞同解决 BGP 风险的必要性,并指出中国电信美洲公司 (CTA) 在 2010 年、2015 年、2016 年、2017 年、2018 年和 2019 年宣传了错误的流量路由,将美国网络流量发送到中国。CTA 的 FCC 执照于 2021 年被吊销。
有一种加密认证方案可用于减轻这些风险:资源公钥基础设施 (RPKI),其中包括路由来源验证 (ROV) 和路由来源授权 (ROA)。但这种安全机制并非万无一失,也并未得到普遍部署。
根据白宫的路线图,在欧洲,大约 70% 的 BGP 路由已发布 ROA 并且 ROV 有效。其他地区的采用率较低。在美国,这一比例仅为 39%,因为美国互联网号码注册局 (ARIN) 监管的 IP 空间比欧洲或亚洲更大、更古老,而且美国政府本身在 RPKI 采用方面落后于私营部门。
ONCD 路线图旨在加速美国公共和私营部门采用 RPKI。
白宫国家网络总监 Harry Coker, Jr 在一份声明中表示:“互联网安全太重要了,不容忽视,这就是为什么联邦政府以身作则,推动我们的机构迅速采用 BGP 安全措施。”
FCC 负责人杰西卡·罗森沃塞尔 (Jessica Rosenworcel) 表示,该路线图是对电信机构先前规则制定的补充,要求互联网服务提供商制定解决 BGP 安全问题的风险管理计划,并要求大型电信公司发布公开季度报告。®
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...