互聯(lián)網(wǎng)的邊界網(wǎng)關(guān)協(xié)議(BGP)似乎是黑客和獨(dú)立國(guó)家眼里的新寵兒，不過(guò)BGP專家Wim Remes表示，濫用BGP絕不是什么新現(xiàn)象――確保BGP安全實(shí)際上相當(dāng)簡(jiǎn)單。

Remes是Rapid7公司的歐洲、中東和非洲區(qū)(EMEA)戰(zhàn)略服務(wù)經(jīng)理，他說(shuō)：“我認(rèn)為，最大的問(wèn)題是了解互聯(lián)網(wǎng)上的信任。”Remes表示，有一些基本的方法可以嚴(yán)格確保BGP的安全，但是這么做的服務(wù)提供商或企業(yè)組織為數(shù)并不多。

Remes近日出席了拉斯維加斯召開(kāi)的黑帽大會(huì)，他在題為《BPG安全現(xiàn)狀》的分會(huì)上概述了BGP安全方面的觀點(diǎn)。他說(shuō)：“面向BGP的這些安全技術(shù)效果非常好，而且部署起來(lái)成本低廉，自治系統(tǒng)號(hào)(ASN)所有者缺少部署這些安全技術(shù)的動(dòng)機(jī)。”

不過(guò)Remes表示，如今的一大首要問(wèn)題卻是互聯(lián)網(wǎng)上的信任，愛(ài)德華•斯諾頓泄露頗有爭(zhēng)議的美國(guó)國(guó)家安全局(NAS)監(jiān)視行為之后，信任嚴(yán)重受挫。

與此同時(shí)，網(wǎng)絡(luò)犯罪分子和獨(dú)立國(guó)家日益濫用互聯(lián)網(wǎng)底層的BGP流量路由架構(gòu)，出于牟利或政治原因，劫持或擾亂網(wǎng)絡(luò)。BGP有可能通過(guò)路由器假冒、分布式拒絕服務(wù)攻擊和流量劫持而遭到濫用。

OpenDNS的 Dan Hubbard將在黑帽大會(huì)上發(fā)布一款新的免費(fèi)工具，名為BGP Stream，它可以通過(guò)推文發(fā)布可疑的BGP/自治系統(tǒng)號(hào)(ASN)更新和變化方面的警示信息，那樣網(wǎng)絡(luò)所有者、互聯(lián)網(wǎng)服務(wù)提供商(ISP)和主機(jī)托管提供商就能隨時(shí)了解惡意的網(wǎng)絡(luò)變化，這些網(wǎng)絡(luò)變化可能會(huì)劫持或者以其他方式擾亂流量。OpenDNS的首席技術(shù)官Hubbard說(shuō)，BGP是攻擊者的武器庫(kù)中的“新式家伙”。

Rapid7的Remes建議對(duì)BGP進(jìn)行監(jiān)控，另外加固BGP路由器和用來(lái)配置及監(jiān)控BGP基礎(chǔ)設(shè)施的系統(tǒng)，此外對(duì)那些系統(tǒng)實(shí)行“嚴(yán)格的訪問(wèn)控制”。

據(jù)Remes聲稱，為BGP路由系統(tǒng)部署資源公鑰基礎(chǔ)設(shè)施(RPKI)是另一種明顯的安全方法。RPKI可以核實(shí)/驗(yàn)證分配的路由來(lái)自合法的來(lái)源，而不是惡意的來(lái)源，因而防止流量重新路由至惡意目的地。Remes表示，實(shí)施RPKI成本低廉，而且相當(dāng)簡(jiǎn)單。他說(shuō)：“路由器收到更新后，它們由本地的區(qū)域注冊(cè)機(jī)構(gòu)加以簽名。”

他特別指出，部署來(lái)自RIPE的開(kāi)源RPKI驗(yàn)證軟件花不了15分鐘。

他表示，ISP及其他大型企業(yè)組織可能會(huì)采用它。RPKI提供的核實(shí)/驗(yàn)證機(jī)制酷似DNSSec為DNS流量提供的那種機(jī)制。他表示，RPKI還讓你可以“在你和同伴之間創(chuàng)建不同的信任級(jí)別”。

他表示，BGP監(jiān)控是另一種簡(jiǎn)單而有用的做法。比如說(shuō)，科羅拉多大學(xué)平時(shí)就收集和監(jiān)控BGP流量，并提供實(shí)時(shí)的源源不斷的BGP事件。Hurricane Electric這家互聯(lián)網(wǎng)服務(wù)提供商就使用BGP儀表板和數(shù)據(jù)集用于跟蹤BGP問(wèn)題，Team Cymru也在監(jiān)控BGP流量。

總部位于盧森堡的計(jì)算機(jī)緊急響應(yīng)小組-盧森堡計(jì)算機(jī)事件緊急響應(yīng)中心(CERT CIRCL)在運(yùn)行BGP Ranking項(xiàng)目，該項(xiàng)目把BGP數(shù)據(jù)與惡意活動(dòng)(惡意軟件和IP黑名單)關(guān)聯(lián)起來(lái)。

Remes說(shuō)：“完全有大量的BGP數(shù)據(jù)可供使用。”

那么，企業(yè)應(yīng)該如何做好BGP安全工作呢?他說(shuō)：“明白你自己擁有哪些資產(chǎn)，監(jiān)控你自己的自治系統(tǒng)號(hào)(ASN)或者是基于云的ASN。有人會(huì)將目光瞄準(zhǔn)你或你依賴的服務(wù)，”所以跟蹤BGP流量大有幫助，他如是說(shuō)。

Remes表示，但是如今采用RPKI的組織其比例大概只有7%，據(jù)RIPE聲稱，到2020年連50%都達(dá)不到。據(jù)Remes聲稱，這不夠好：“ASN所有者應(yīng)該力爭(zhēng)比這做得更好。”