本APNIC文摘原標題為Common pitfalls in RPKI deployment and how to avoid them,由Bahaa Al-Musawi 撰文。
邊界閘道協定(Border Gateway Protocol,BGP)是網際網路連線的關鍵元素。然而,BGP至今仍難以防禦各種網路攻擊。資源公鑰基礎建設(Resource Public Key Infrastructure,RPKI)是一種強化BGP安全的協定;RPKI框架以X.509授權憑證格式文件為基礎,允許網路營運者使用私鑰和公鑰,對發送到BGP的路由宣告進行數位加密和簽章。有了RPKI,網路營運方得以使用路由來源授權(Route Origin Authorization,ROA)進行,路由來源驗證(Route Origin Validation,ROV),也可以使用數位簽署物件等安全功能。
可惜的是,大部分網路營運者對RPKI仍一知半解,也因此RPKI佈署仍不普及。本文中,作者將探討幾個常見的RPKI設定疏失,並建議如何避免失誤。
- 人為疏失
人為疏失是RPKI最主要的安全問題之一。在RPKI儲存庫(repository)中,超過5%的紀錄與長期有效的BGP通告有衝突,更有約30%的紀錄根本設定錯誤。前者將導致執行ROV的自治系統(Autonomous system,AS)無視有效的BGP路由通告,並因此無法通往上千個有效目的地。設定錯誤更危險,通告發布方將因此無力抵擋前綴挾持攻擊。
針對人為疏失,作者提出3個改善建議。首先,RPKI設定操作平臺的供應方在設計時,應適時在操作界面中放置警告,告知使用者使用特定類型AS的風險。或者,供應方也可以選擇在界面中放置提醒,提供AS來源組織的名稱,以及該AS授權發布的位址前綴。若網路維運工程師希望直接跳過設定RPKI的複雜問題,也可以選擇使用「DISCO」——此系統可以驗證IP位址區塊持有者的身份,發揮跟RPKI和ROV一樣的效果。
- 字首長度限制(MaxLength)的使用方式
字首長度限制(MaxLength)是ROA憑證內含的資料之一。可以將MaxLength理解成一種簡記標示,用較簡易的方式,標記某個授權AS有權發出的所有IP前綴,而無須列出所有該AS有權發出的前綴。工程師會用到MaxLength的原因有很多,諸如增加彈性、簡化重新設定RPKI物件的流程,或是減少路由負載量等,都是可能因素。
然而,最近的RPKI量測卻發現,在ROA中使用MaxLength有潛在的安全問題。此量測中顯示,ROA使用MaxLengh標明的位址前綴中,有84%更容易遭致偽造來源的子前綴挾持攻擊。
因此,作者建議,除非情況特殊,盡量避免在ROA憑證中使用MaxLength。他認為只要情況允許,大家都應使用「極簡」ROA憑證;意即只授權來自BGP之IP前綴的ROA憑證。
- 在儲存庫中刪除ROA憑證
即使有更明確的ROA憑證產生,仍保留內含RIR指派位址完整前綴的ROA而不刪除,是越來越常見的作法。雖然從儲存庫中刪除ROA並非不可行,但實行起來並非易事。在2013年美國電腦協會資料通訊特別興趣小組(Special Interest Group on Data Communication,SIGCOMM)年會中,以及2020年ICANN技術長辦公室發布的RPKI技術分析報告中,都曾提出此問題,指出要利用任一RIR提供的操作界面,刪除該RIR儲存庫中既有的ROA憑證,在操作上異常困難。
也因此,作者重申,只要情況允許,大家都應盡量使用「極簡」ROA憑證。
路由安全共同協議規範(Mutually Agreed Norms for Routing Security, MANRS)是由網路社群所推動的全球倡議,旨在透過技術和協作,減少常見的路由安全威脅。MANRS網站亦提供佈署RPKI的最佳作法指南,作者建議大家參考MANRS指南佈署RPKI,同時不忘此文提出的常見疏失和建議作法,就能達成更有效的RPKI設定。
*台灣網路資訊中心(TWNIC)與亞太網路資訊中心(APNIC)合作,定期精選APNIC Blog文章翻譯摘要,提供中心部落格讀者了解目前亞太地區網路發展之最新趨勢。原文標題為Common pitfalls in RPKI deployment and how to avoid them。
圖片來源:APNIC部落格
