本APNIC文摘原標題為RPKI Q&A — Why don’t we outsource validation?,由APNIC首席科學家Geoff Huston撰文。
身為APNIC首席科學家,Geoff Huston經常收到許多關於邊界閘道通訊協定(Border Gateway Protocol,BGP)路由安全的問題。在這篇文章中,Geoff說明為什麼他認為目前資源公鑰基礎建設(Resource Public Key Infrastructure,RPKI)建置的方式是把安全外包,並丟出許多假設問題,希望藉此激盪社群新想法,共同思考如何更安全的部署RPKI。
很多人會說「安全外包」(outscourced security)的概念自相矛盾。然而,Geoff指出,目前域名安全擴充程式(Domain Name Security Extensions,DNSSE)的部署方式就是把安全外包:使用者端的內建伺服器(stub resolver)不驗證DNS回應,而是仰賴遞迴解析器進行驗證後,直接收受未加密、附上「已驗證」標籤的回應。
DNSSEC這種無條件信任的做法聽起來不免令人心生懷疑,然而,Geoff指出,RPKI的驗證方式與DNSSEC其實大同小異。以最簡單的概念解釋,RPKI是把「已驗證」標籤貼在路由宣告上,BGP看到標籤,就相信此路由宣告安全並轉傳出去。
在DNSSEC中,客戶端至少還可以要求遞迴解析器「不管驗證結果如何都把回應傳給我」,但RPKI卻做不到這點。目前的實作上,有部署RPKI的路由會直接丟掉未通過驗證的訊息。路由運作的基本原理是每個路由都保證會轉傳來自其他路由的訊息,直到訊息到達目的地。如此一來,當部署了RPKI的路由把未通過驗證的訊息丟掉,它的下一個鄰居就收不到訊息,但也不會知道自己沒有收到訊息。從這個角度理解,RPKI等於是讓你的鄰居幫你決定是否接受訊息,也是一種「安全外包」。
為了推廣RPKI,很多單位,包括區域網路註冊管理機構(Regional Internet Registry,RIR)提供所謂的「RPKI代管服務」,幫客戶執行RPKI功能。Geoff認為這也是安全外包,看似安全,其實是交出掌控權,為自己徒增弱點。
那麼,不如完全捨棄代管服務,也不要在BGP上裝RPKI了,把一切都裝在內容傳遞網路(Content Delivery Network,CDN)如何?反正現在很多人不都認為有了CDN,也不太需要網際網路了?
Geoff最後表示,這篇文章並非為了提出完美解方。透過說明路由如何運作,指出問題,他希望藉此拋磚引玉,激勵眾人一起想出更安全的路由運作方式。
*台灣網路資訊中心(TWNIC)與亞太網路資訊中心(APNIC)合作,定期精選APNIC Blog文章翻譯摘要,提供中心部落格讀者了解目前亞太地區網路發展之最新趨勢。原文標題為RPKI Q&A — Why don’t we outsource validation?
圖片來源:APNIC網站
