為加固互聯網路由安全的薄弱環節，美國國家網絡安全辦公室（ONCD）近日發布了一個提升互聯網路由安全的路線圖，主要針對邊界網關協議（BGP）相關漏洞進行改進。

BGP作為全球互聯網的基礎協議，負責全球超過7萬個獨立網絡間的流量管理，廣泛應用于ISP、云服務提供商、政府機構、大學和能源供應商等。ONCD指出，BGP的設計缺乏現代互聯網所需的安全措施，這使得網絡流量可能被意外或惡意重定向，導致關鍵基礎設施面臨風險，并可能為間諜活動、數據盜竊和安全漏洞提供掩護。

推動RPKI成為全球標準

ONCD路線圖中提出了廣泛采用資源公鑰基礎設施（RPKI）的建議。RPKI是由IETF制定的標準框架，能夠通過防止路由劫持、路由泄漏和IP資源劫持等手段來提升安全性。通過實施RPKI，互聯網服務提供商（ISP）和運營自己的路由網絡的企業可以確保BGP公告和路由更新的合法性和安全性，避免數據傳輸中斷或被惡意篡改。

國家網絡安全辦公室呼吁所有網絡類型的運營商，包括ISP、企業網絡和擁有自己IP資源的組織，盡快采用RPKI標準。特別是對于關鍵基礎設施的運營商、州和地方政府，以及依賴互聯網進行“高價值”任務的組織，BGP的安全尤為重要。

白宮國家網絡安全主任Harry Coker Jr.在發布報告時表示：“互聯網安全事關重大，聯邦政府將率先推動BGP安全措施的快速普及。”

除了發布報告，ONCD還設立了公私合作的利益相關者工作組，并共同主持了互聯網路由安全工作組。該工作組將制定框架，幫助網絡運營商評估風險，優先處理關鍵的IP地址資源和路由源。

BGP漏洞的安全風險

BGP作為全球互聯網的基礎協議，廣泛應用于ISP、云服務提供商、政府機構、大學和能源供應商等。然而，ONCD指出，BGP的設計缺乏現代互聯網所需的安全措施，這使得網絡流量可能被意外或惡意重定向，導致關鍵基礎設施面臨風險，并可能為間諜活動、數據盜竊和安全漏洞提供掩護。

互聯網基礎設施提供商Cloudflare指出，全球只有約一半的網絡采用了RPKI。過去幾年，曾發生過多起重大BGP安全事件，例如：

• 2021年4月：全球性BGP泄漏事件。這次BGP路由泄漏導致全球數千個網絡受到影響。事件的起因是一個錯誤的BGP路由配置，導致原本不應該被廣告的路由被傳播到全球，影響了多個國家的互聯網連接(。
• 2022年8月：加密貨幣服務Celer Bridge的BGP劫持。黑客通過偽造的BGP公告成功劫持了Celer Bridge的加密貨幣交易，重定向資金到攻擊者的賬戶。此次事件通過更改AltDB數據庫的內容欺騙了傳輸提供商，使攻擊者得以冒充亞馬遜網絡服務（AWS）來進行劫持。
• 2008年：YouTube被封鎖事件。巴基斯坦電信公司（PTCL）通過BGP劫持全球范圍內的YouTube流量，試圖在國內封鎖該服務。雖然該舉動本應僅影響巴基斯坦境內的訪問，但錯誤的路由公告傳播到了全球，導致YouTube在全世界范圍內下線。

這些事件凸顯了BGP的脆弱性，無論是有意的攻擊還是無意的配置錯誤，都會導致全球互聯網服務中斷和安全隱患。

專家們認為，全球互聯網路由依賴信任而非安全是不可持續的。Team8風投集團的首席技術官Eidan Siniver指出：“企業經常在全球站點之間傳輸敏感數據，而被劫持的路由將帶來重大安全風險。網絡運營商應當廣泛采用RPKI等框架，優先考慮安全而非信任，建立可靠的標準。”