全球網際網路基礎設施的安全性,無論是DNS還是路由,都帶來了額外的挑戰:安全措施的效用也常取決於許多第三方的協調行動。由於路由安全對於網際網路的未來和穩定至關重要,由網際網路協會(Internet Society,ISOC)支持,推動一項相互協商的路由安全規範(Mutually Agreed Norms for Routing Security,MANRS)計畫[1],提供關鍵修復,減少最常見的路由威脅,為網路營運商全球網際網路路由系統的安全性和彈性問題提供指導。
依據BGPStream.com[2]提供有關路由系統中可疑事件的資訊,僅在2018年,全球就有12,600次路由中斷或攻擊[3],例如劫持,洩漏和欺騙,數據被盜,收入損失,聲譽受損等等。這些“事件”是路由系統狀態的可疑變化,可歸因於中斷或路由攻擊,如路由洩漏或劫持(故意或由於配置錯誤)。營運商,企業和決策者進行防止這些事件發生,許多已經參加落實路由安全的共同協議規範的具體步驟。Microsft是全球眾多產業巨頭中最新加入MANRS計畫的一家。
MANRS表示網路營運商透過同意防止傳播錯誤的路由信息,防止帶有欺騙性源頭IP地址的流量,促進及時通信和協調,並鼓勵發布路由數據。此基本規範包含四個MANRS操作步驟:可顯著提高網際網路的安全性和可靠性。前兩個操作改進消除了常見的路由問題和攻擊,而後兩個程序步驟為普遍採用提供了管道,以降低未來事件發生的可能性:
- 過濾(Filtering)- 使用前綴和AS路徑長度確保您自己的公告以及客戶向相鄰網路發布路由公告的正確性,防止傳播錯誤的路由信息。。
- 反欺騙(Anti-spoofing)- 為客戶網路,您自己的終端用戶和基礎架構啟用來源地址驗證,防止使用欺騙性來源IP地址流量。
- 協調(Coordination)- 維護全球可訪問的最新聯繫資訊,促進網路營運商之間的全球業務通信和協調。
- 全球驗證(Global Validation)- 發布您的數據,以便其他人可以在全球範圍內驗證路由訊息,便於在全球範圍內驗證路由信息。[4]
MANRS解決了三類主要問題:
- 與錯誤的路由訊息有關的問題;
- 與欺騙性來源IP地址的流量相關的問題,和
- 與網路營運商之間的協調和協作相關的問題。
相關資料:
[1] MANRS服務網站:https://www.manrs.org/
[2] BGPStream服務網站:https://bgpstream.com/
[3] “Routing Security – Getting Better, But No Reason to Rest!”, MANRS blog, https://www.internetsociety.org/blog/2019/02/routing-security-getting-better-but-no-reason-to-rest/
[4] “Origin Validation Operation Based on the Resource Public Key Infrastructure (RPKI),基於資源公鑰基礎設施(RPKI)的路由源頭驗證操作”,IETF BCP 185,http://www.rfc-editor.org/bcp/bcp185.txt
