订报
社团法人台湾电子设备协会
 

TWNIC推动RPKI建置三部曲 杜绝BGP路由劫持威胁

图1:BGP路由来源劫持示意图(资料来源:TWNIC提供)

现今企业已越来越仰赖互联网来提供服务,尤其因疫情而采取的封城、居家隔离政策更使得在线流量暴增。这时有更多的诱因促使网络犯罪团体伺机而动,黑客不针对个别企业网站下手,而是看准互联网通讯协定的漏洞,从利用BGP协定的信任机制对ISP宣告错误的路由,因而将流量导至黑客的服务器,也就造成所谓BGP劫持(BGP Hijacking)。

对此,互联网工程任务组(IETF)透过制定资源公钥基础建设(Resource Public Key Infrastructure;RPKI)标准来强化路由安全。而台湾经过2年推广,目前超过98%的IPv4位址均已签署RPKI ROA,在全球IPv4位址数量前百大国家中排名第一。

 点击图片放大观看

图2:全球IPv4路由比对验证结果 (资料来源:NIST)

人为疏失、恶意拦截 BGP劫持造成封包信息外泄

网络世界的路由是由Autonomous system(自治系统;AS)号码串接组成。在正常的网络世界,若AS4要传输封包到AS1有许多条路径可选择,经由AS2再到AS1是最快速的路径。然而若AS6未经授权却宣告拥有与AS1相同的网段并通知其它节点路由器更新路由信息,那么AS4要传送到AS1的封包就会被导至AS6,这就是BGP路由劫持(如图1)。黑客拦截了这些流量可用来发送垃圾邮件、窃取加密货币,若AS6进一步伪造相似AS1 IP位址的网站就成为钓鱼网站,可窃取更多受害者机密个资。

BGP路由劫持除了上述黑客去更改路由来源的恶意劫持外,也包括伪造AS路径,让原本由AS4→AS2→AS1,绕道成为AS4→AS2→AS3→AS1,在AS3就可窃取封包信息发动中间人攻击。另外人为疏失也可能导致BGP路由劫持,例如在路由设定时有错别字或前置错误等。

根据维基百科,早在1997年就曾发生BGP劫持事件,而2008年巴基斯坦电信劫持YouTube流量更是造成当时YouTube全球服务因此中断,由于巴基斯坦电信迳行宣告拥有YouTube所属网段,而巴基斯坦的上游Tier 1 ISP电讯盈科(PCCW)基于信任BGP协定把此不正确路由信息转发至其它ISP,导致应传至YouTube的流量转向巴基斯坦电信。

近年BGP劫持更是有增多的趋势。2018年11月就发生奈及利亚一家名为MainOne的ISP劫持Google流量约74分钟,他们将路由路径绕道俄罗斯TransTelecom、中国电信、MainOne然后才流至Google,MainOne事后调查称此为人为设定错误所导致。而2020年4月又发生全球约200家CDN服务商遭BGP劫持事件,包括Facebook、Google、Amazon、Cloudflare、GoDaddy、Line等流量都被导向俄罗斯,历时约1小时。TWNIC台湾网络信息中心顾静恒组长表示,发动BGP劫持对黑客来说非常容易,不需高深技术都可向ISP宣告拥有AS,因此近年BGP劫持事件日益增多。透过RPKI标准与路由来源认验证机制,来侦测无论是恶意劫持或人为错误的BGP劫持也就势在必行。

三阶段RPKI建置计画 逐步推动路由整体安全

在IETF制定透过路由来源验证机制来确保路由的正确性后,TWNIC自2018年即开始制定RPKI推动计画,透过三阶段工作来达到强化路由安全的目标。经过2年的推广目前已有初步成果,目前超过98%的IPv4位址已签署RPKI ROA,第一阶段成果斐然,紧接著46家拥有IP位址且有对外宣告路由的业者已进入第二阶段,率先向其用户证明能提供安全的联机服务。

第1阶段 签署路由来源授权

在2018年9月TWNIC RPKI CA与APNIC CA签署授权后,TWNIC开始推动RPKI计画。第一阶段是签署路由来源授权(Route Origin Authorizations;ROA),这是指所有曾到TWNIC注册的IP位址拥有者必须到TWNIC RPKI管理系统登记,设定某一段IP是由哪里一个AS(自治系统)所宣告,以证明此路由来源是合法的。而这些设定好的ROA资料都会同步上传到全球ROA资料库,将来路由器收到路由便会与ROA资料库比对,若是不合法的路由便能阻挡。

目前台湾约有3,500万个IPv4位址,IP位址拥有者完成签署ROA的已有150家,一共签署2,485笔ROA,ROA签署比例达到98%,在全球IPv4位址数量前百大国家中名列第一。然而,目前全球签署ROA的比例仅23%,仍有待各组织大力推广才能确保网络世界整体路由安全。

第2阶段 连接路由来源验证服务器

而第二阶段便是TWNIC建置路由来源验证(Route Origin Validation;ROV)服务器,并联机到全球ROA资料库下载全球ROA资料。而后IP拥有者且有对外发放路由者(目前全台约180家企业组织)需设定其路由器,使之联机到TWNIC的ROV服务器,此后便能定期下载最新的ROA资料来验证其路由来源是否合法。但前提是这些组织的路由器必须支持RPKI功能,启用RPKI后再设定联机到ROV,Validator服务器。

顾静恒指出,目前全台已有46家企业组织完成第二阶段与ROV服务器的联机,已具备比对路由来源合法性的能力。除了五大ISP及宽频固网业者外,包括台湾银行、台湾集成电路及教育部等政府与知名企业都已率先做好联机准备,不仅能确保其对外路由不被劫持,也能避免成为BGP劫持事件的帮凶。

第3阶段 启动路由自动过滤功能

到了第三阶段,就是能依据路由来源验证的结果自动进行过滤。路由经过比对验证会产生三种结果:合法(valid)、不合法(invalid)以及不明(not found)。如果比对后是合法则予以联机,验证后是不合法者则直接阻挡错误路由,不论是恶意劫持或人为设定错误,而有宣告的路由但尚未签署ROA者则显示为不明。根据NIST的统计,目前全球IPv4的路由比对后为不明者仍高达76.14%。(如图2)

ISP、云端服务业者加速部署RPKI

目前包括NTT、Cloudflare、香港国际互联网交换中心(HKIX)等电信公司都已完成三阶段的ROV验证及开启自动路由过滤功能,而中华电信也名列其中。在Cloudflare以及RIPE网站上都有提供RPKI检测功能,可检测全球各地ISP是否完成RPKI的部署设定。

顾静恒表示,预料不久将来也会要求与其联机的ISP业者陆续完成ROV及路由过滤工作。而目前台湾IP拥有者且有对外发放路由者仍有110多家尚未完成第二阶段的ROV联机设定,除了因路由器版本老旧不支持RPKI,需另升级更新路由器韧体或直接更换之外,有部分业者则是担心设定之后影响联机效能。顾静恒表示,目前已完成第二阶段ROV联机设定的46家组织,其路由器效能经测试后均无产生延迟等反应,一般效能的路由器在设定后不会导致延迟问题。

综上所述,互联网的安全往往是环环相扣,以路由安全来说,唯有每一个节点都做好路由来源授权宣告,能让别人查询。接著IP拥有者需做好ROV联机以比对验证路由来源是否合法,最后则是启动路由过滤功能,三阶段都完成后才能达到整体路由安全的目的。否则,最脆弱的一环经常就是黑客容易下手的地方,随著越来越多机密隐私的封包信息在网络上传递,遭BGP劫持不仅使网络服务中断也将导致用户隐私外泄。因此不论是ISP或提供云端服务业者,都应加快脚步为整体互联网安全努力。

  •     按赞加入DIGITIMES智能应用粉丝团
更多关键字报导: 台湾网络信息中心