RPKI与互联网路由安全(上)

由大量自治网络互通而成的全球互联网,能否安全稳定的运行,关键在于IP地址管理和路由控制。而RPKI(互联网码号资源公钥基础设施)即将成为互联网IP地址分配系统和路由系统的信任锚点和管理入口,对于各大网络运营商和持有IP地址资源的企业来说,RPKI将不可避免的成为它们新的工作重点和挑战。

ZDNS作为国内领先的互联网基础资源服务提供商,自2014年成立RPKI研发团队,对RPKI进行持续深入的研究。实验室主任马迪博士和rpki发明人Stephen Kent博士合著的“rpki数据安全威胁模型”在2017年发布为IETF RFC 8211。目前,马迪博士还是RPKI验证软件国际开源项目RPSTIR(bgpsecurity.net)的负责人。ZDNS致力于RPKI在我国的部署方案和运行机制, 在RPKI与互联网路由安全的相关研发工作中,发挥着重要作用。

自治网络和BGP协议

互联网由许多独立发展的自治网络(AS)所组成,政府、网络运营商(ISP)、大学和企业都可以运行自己的自治网络。每一个自治网络都会被分配一个全球唯一的编号,称为AS号。自治网络之间通过域间路由协议BGP来共享路由信息:每个AS负责将自己的IP地址前缀(即一段连续的IP地址块)通告给邻居AS,扩散到全球互联网,使得互联网上任意两个可全球路由的IP前缀都能进行通信。

图1里,自治网络AS3是IP地址前缀16.1.0.0/16的合法持有者,它通过BGP协议消息向外通告包含该前缀的AS路径为3的路由信息,该路由通告被邻居AS1接收到;AS1一方面将目的地址包含在16.1.0.0/16地址块中的IP数据包经该路径发送给AS3,另一方面把自己的AS号加到该AS路径的最前端,并继续向外通告该路由,即向外通告IP前缀为16.1.0.0/16,AS路径为1 3的路由。AS7、AS5和AS2遵从同样的BGP路由协议。

图1: AS3向外通告16.1.0.0/16

. IP地址前缀和AS号分配机制

IP地址前缀和AS号的分配是在一个分级体系中进行的,如图2所示:该体系顶层是互联网码号资源分配的最高权威机构IANA。其下是五大地区性互联网注册机构(RIR),包括亚太区APNIC,北美ARIN、欧洲RIPE NCC、拉丁美洲LACNIC和非洲AFRINIC,它们负责分配和管理各自地域内的IP地址和AS号。在RIR之下还可以存在一些注册机构, 如:国家级注册机构(NIR)和普通地区级注册机构(LIR,如网络运营商)。这些机构从上级RIR得到IP地址前缀和AS号,然后留作己用或继续向下级会员分配。

图2:互联网码号资源分配

互联网路由劫持

BGP协议在安全性上存在非常明显的设计缺陷:在进行路由通告的过程中,每个自治网络无条件地信任邻居发给自己的任何路由通告,即使邻居通告的是虚假的路由信息,这些信息也会被接受并且被继续传播。这就给互联网带来不安全和不稳定的因素,导致路由劫持等安全事故频发:2017年4月, Visa、MasterCard等37个国际金融机构的50条IP前缀被劫持到俄罗斯国有电信运营商Rostelecom,劫持持续了5~7分钟;2017年8月,谷歌意外泄露了从邻居AS得到的内部路由信息,劫持了全球超过13.5万条路由,其中日本NTT是受影响最大的ISP,导致日本大范围断网约1小时。

恶意攻击者往往通过伪造BGP消息中的起源AS号来实施路由劫持。如图3所示,在AS3向外通告16.1.0.0/16的基础上,AS2恶意伪造路由通告,即向外谎称自己是16.1.0.0/16的起源AS。AS5收到的16.1.0.0/16的真实路由长度为3,虚假路由长度为1,根据BGP最短AS路径优先的原则,AS5将选取该虚假路由,因此原本流向AS3的全部流量被劫持到AS2。该虚假路由经由AS5发送给AS7,AS7收到的16.1.0.0/16的真实路由和虚假路由的AS路径长度一样,AS7会根据其他路由规则选择真实路由和虚假路由之一,如果选择了后者,那么原本流向AS3的流量同样会被劫持到AS2。

图3: AS2非法向外通告16.1.0.0/16

针对互联网路由系统存在的安全问题,工业界和学术界提出过很多解决方案,但是均没得到广泛应用。最终,RPKI方案脱颖而出,经由IETF标准化,正在被互联网注册机构、网络运营商和IP地址持有机构部署使用。对于这些机构和企业来说,RPKI将路由系统的安全问题由技术范畴迁移至了运行管理范畴,是一场深刻改变互联网原有管理格局的升级进程。

原创文章,作者:Safeidc,如若转载,请注明出处:https://www.safeidc.cn/2021/06/rpki-route1.html

发表评论

邮箱地址不会被公开。

联系我们

在线咨询:点击这里给我发消息

时间:周一至周五,9:30-18:30,节假日休息