隨著民眾對網際網路服務的依賴度高漲,不論基於生活、工作或求學都離不開網際網路,可想而知假使網際網路服務驟然停擺,必定對社會帶來重大衝擊。而BGP(Border Gateway Protocol)即是網際網路能順利運作的重要基礎之一,包括駭客蓄意劫持BGP,或因人為設定錯誤造成另類BGP劫持,皆會導致網際網路服務中斷、甚至引發資安問題,後果相當嚴重;因此不管政府、產業甚或個人,都有責任全力遏止此事發生。
為強化網際網路路由安全,2018年9月28日台灣網路資訊中心(TWNIC)與亞太網路資訊中心(APNIC)簽署CA授權憑證,自此TWNIC開始積極推動「資源公鑰基礎建設」(Resource Public Key Infrastructure;RPKI),旨在解決路由IP位址前綴錯誤的安全問題,使號碼資源的合法持有者能掌握路由運作,以化解路由劫持或其他攻擊。
歷經兩年推廣,RPKI ROA(Route Origin Authorizations)簽署率高達98%,在全球IP位址數量前百大國家中位居世界第一,象徵RPKI建置計畫當中的第一階段成果豐碩。為此TWNIC特別選定2020年9月28日舉辦「Taiwan RPKI Day」活動,除傳達第一階段的捷報外,也順勢宣布進入第二階段、啟動TWNIC RPKI Validator連線測試,多達46家業者共襄盛舉,這些IP會員須從路由器啟動RPKI功能,連線至TWNIC Validator伺服器,即可定期下載最新ROA資料,具有比對路由來源合法性的能力。
ROA簽署率達98%,完勝工業先進國家
國家通訊傳播委員會委員鄧惟中表示,為確保網際網路路由的暢通、並防範BGP劫持事件,使近年來RPKI重要性大幅提高。TWNIC對RPKI的推廣十分用心,不僅提供技術支援,也曾舉辦六場教育訓練活動,引導IP會員設定RPKI,以致在第一階段展現亮眼績效。
鄧惟中期許,第二階段的RPKI驗證推廣也能繳出好成績,猶如防疫成為世界的模範生。畢竟台灣的資源少,又因為地緣關係緣故、頻繁遭受網路攻擊,所以國人必須共同努力,儘快落實RPKI建置計畫,彰顯台灣的路由傳送絕對都是可靠、可信賴及乾淨的。
TWNIC董事長黃勝雄指出,兩年前開始推動RPKI,意即向電信營運商、ISP發放IP位址的同時,也一併簽署CA授權,確保這些資源的來源真實無誤。當時之所以這麼做,係因路由安全問題日趨氾濫;例如兩年多前Google做出錯誤BGP宣告,導致不少應前往日本各大電信營運商的流量,意外流向Google伺服器,但Google並非ISP,不負責數據中轉,使這些流量無法抵達目的地,形同讓日本斷網8小時之久,舉凡網路銀行、交通儲值、玩遊戲…等等服務都停擺,值得台灣借鏡。
黃勝雄說,由於國人資安意識高,加上通傳會大力支持、召開多次協調會鼓勵ISP業者參與RPKI建置計畫,得以締造第一階段ROA簽署率98%的佳績,目前七大先進工業國的法國與德國,分別達到77%和52%水準,台灣的領先幅度相當大。
積極邁向第三階段,自動過濾不合法路由
APNIC主席Paul Wilson透過影片,隔海向Taiwan RPKI Day表達祝福。他表示,兩年前APNIC簽署TWNIC CA授權憑證,之後TWNIC即可使用RPKI數位簽章憑證保障其管理下的IP位址,同時允許TWNIC成員的憑證持有者,可利用路由來源授權ROA來保護路由宣告,是邁向網際網路路由安全的重要一步。現在台灣地區的IP位址有98%簽署ROA,堪稱了不起的成就。
進入第二階段部署,約有46家營運商參與測試,代表台灣網路社群一路既往地支持網路安全。Paul Wilson透露,他知道TWNIC針對第三階段的全面路由過濾,也正在計劃進行,這般前瞻性規劃著實令人印象深刻,是一個典範,值得讓世人跟隨效法。他鼓勵台灣網際網路社群追隨TWNIC的帶領,不僅參與第二階段測試活動,還要參與其他營運演練與技術操作,以建立一個穩定、安全、開放的網際網路。
黃勝雄重申,網際網路是基於互通面、而非安全面所設計,僅透過信任關係進行路由宣告,屬於盲目的信任,以致讓惡意份子有機可乘攔截路由;有了RPKI,便可藉由路由來源的比對驗證,確認惡意份子的行為不合法,進而展開過濾手段,使惡意份子再也無法任意廣播不屬於他的路由。TWNIC將持續觀測第二階段的推動進度,若參與驗證的比率高,即會宣布進入第三階段,促使IP會員啟動路由自動過濾功能,加快腳步維護整體網際網路安全。
延伸閱讀:
