APNIC文摘 — 個人意見：安全路由是否市場失靈？（上）

2023 / 04 / 10
作者：國際瞭望

2023 / 04 / 10
Author : 國際瞭望

分類：發展, 社群, 資安
Tags： APNIC, APNIC文摘, 即時訊息, 國際瞭望, 路由安全

Categories : 發展, 社群, 資安
Tags : APNIC, APNIC文摘, 即時訊息, 國際瞭望, 路由安全

本APNIC文摘原標題為Opinion: Is secured routing a market failure?，由Geoff Huston撰文。

網際網路在很多方面都是通訊領域的轉捩點。網際網路出現後，網路終端從人類變成電腦，通訊服務從同步變成不同步，並從虛擬電路變成封包交換。公共傳播結構也同時改變，服務供應方從公家獨佔（或公家許可寡佔）變成以私部門為主、缺乏管制的市場經濟。

缺乏管制代表推動改革的主力是市場機制而非政府法規：唯有投資報酬率提升（或可能提升），提供服務的業者才會做出改變。

IPv6就是典型範例。IPv6的設計初衷是與IPv4差異越小越好，最好能神不知鬼不覺地從IPv4全面轉成IPv6。對業者而言，轉換至IPv6既不會增加收益，也無法降低營運成本；換句話說，轉至IPv6不會帶來競爭優勢。已在市場中、手上仍有IPv4位址的業者不願轉換至IPv6，新業者則因IPv4位址價格高昂而難以進入市場。在缺乏市場動機下，轉換至IPv6因此曠日費時。

本文中，Geoff Huston自路由安全濫觴談起，探討路由安全是否也將步上IPv6後塵，面臨市場失靈的苦果。

路由安全：源起

一開始，網際網路以「只要將封包傳送到正確的IP位址，就可以信任得到的回應」為運作原則。當然，這樣的全然信任不免顯得過度天真；封包可能被誤導、攔截，回應也可能遭變造。許多惡意手法只需在路由系統中植入錯誤位址或攻擊路由，不會碰到終端使用者。

為了避免終端盲信路由系統可能導致的慘況，必須保護路由資訊免於變造，並確保封包正確傳送到欲前往的IP位址。

安全路由做法

路由註冊管理目錄（routing registry）

這是最早的安全實踐之一，所有網路都公布自身路由系統宣告內容及路由資訊相關規定，供其他網路依此建立過濾器。若路由遭洩露，則有過濾器的網路會發現並捨棄這些錯誤宣告。網路也可依此紀錄，檢查發出的位址和公告的路由註冊管理目錄是否相同。

然而，「所有網路營運方都使用同一路由註冊管理目錄」的理想並不切實際。越來越多大型傳輸服務業者發布自己的路由註冊管理目錄，目錄中還包含緊急應變的備用路由資訊。大量龐雜的資訊加上業者疏於維護目錄，不僅造成新舊資訊衝突，過濾器的建立也因此變得困難。

除此之外，此模式並未限制提出路由註冊管理目錄的對象，也沒有使用如數位簽署等方式保護目錄內容。基於以上原因，此做法始終未被普遍應用。

BGPSEC

2000年代早期開始，焦點轉至路由協定本身，也就是邊界閘道協定（Border Gateway Protocol，BGP）。BGP宣告器必須從兩方面驗證收到的資訊，一是進入路由系統前的位址前綴源頭，二是此資訊經路由系統傳遞後，是否仍保持為真。用來驗證此兩者的公鑰加密架構叫做公鑰基礎建設（public key infrastructure，PKI）。

PKI並非沒有問題。此做法使用的X.509公鑰憑證並非為了路由而設計，無法直接套用。為了在路由空間中使用此公鑰憑證，必須另行開發憑證發布機制。在不能更改BGP協定的限制下，此機制設計成收到要求才會抽取資訊。但今日網際網路的規模，對此機制而言負荷過大。將資訊集中在特定公告節點，也就是所謂的資源公鑰基礎建設（Resource Public Key Infrastructure，RPKI）能有效減輕系統負荷，但網路中也將因此出現數個關鍵弱點。

除此之外，確保路由更新經傳播仍保持完整也是個問題。此問題的解方是新增數位簽章，保護BGP更新中的AS-PATH 屬性。在BGPSEC協定（RFC 8205）中，所有BGP宣告器都要用與自治系統號碼（Autonomous System Number，ASN）相連的私人金鑰簽署更新，包括已簽署的AS-PATH和目的地ASN。然而，此做法要有效，必須全面建置，若僅部份網路採用，就會失去作用。而若無法驗證AS-PATH，意即無法保護路徑，僅確保源頭，則也難以稱之為完整的安全機制。

這機制唯有全面建置才有效，也代表個別網路先採取此BGPSEC不會得到任何好處。事實上，此機制與「先做先得利」恰好相反，是越晚執行，才能享受最大利益。

路由完整性

另一個問題，是路由完整性（routing integrity）和轉發完整性（forwarding integrity）其實不盡相同。即使確保傳至路由的資訊整份正確無誤，路由如何處理這份資訊、決定怎麼轉發此封包，此封包歷經多個路由的處理和決策後如何到達最終目的地，都非路由系統能掌控。路由系統再怎麼安全，還是有各種機會在此系統外干擾網路的封包轉發行為。

上述路由安全做法都並非昂貴到無法負擔，但對網路營運業者而言，的確是多出來的成本和風險。

下篇將分析路由安全的成本效益，並試圖解答路由安全是否市場失靈，以及我們應如何面對此問題。

本文內容純屬筆者個人意見，並不代表TWNIC立場

*台灣網路資訊中心（TWNIC）與亞太網路資訊中心（APNIC）合作，定期精選APNIC Blog文章翻譯摘要，提供中心部落格讀者了解目前亞太地區網路發展之最新趨勢。原文標題為Opinion: Is secured routing a market failure?。

圖片來源： APNIC Blog