2024年9月5日,美国白宫国家网络总监办公室(ONCD)发布《加强互联网路由安全路线图》,主要针对边界网关协议(BGP)相关漏洞进行改进。该路线图建议采用资源公钥基础设施(RPKI)解决与BGP相关的关键安全漏洞,提高互联网路由安全性。
BGP作为全球互联网的基础协议,负责全球超过7万个独立网络间的流量管理,广泛应用于网络业务提供商(ISP)、云服务提供商、政府机构、大学和能源供应商等。ONCD指出,BGP的设计缺乏现代互联网所需的安全措施,这使得网络流量可能被意外或恶意重定向,导致关键基础设施面临风险,并可能为间谍活动、数据盗窃和安全漏洞提供掩护。该路线图指出,安全开放的互联网对美国的经济繁荣和国家安全至关重要。然而,互联网架构和生态系统的许多方面,包括用于在构成互联网的数千个独立网络上路由流量的主要技术,都无法为我们今天面临的威胁提供足够的安全性。
路线图详细介绍美国政府(USG)为促进BGP安全性而采取的行动,并重点介绍18项行动,包括所有网络运营商应更新风险管理计划、发布路由来源授权等;网络服务提供商应部署路由来源验证、披露路由安全实践等;联邦政府和通信技术部门应合作开发风险标准和优先级框架等。具体如下:
一、所有网络运营商采取的行动
1.风险规划
每个网络运营商都应制定、维护并定期更新网络安全风险管理计划。为了指导实施BGP安全措施的短期和长期计划,所有网络运营商都应在其组织的网络安全风险评估、网络安全风险管理分析以及运营计划和程序中明确解决互联网路由的安全性和弹性问题。所有网络运营商都应在评估中考虑采取以下行动:
(1)盘点组织持有的所有互联网号码资源,包括AS号码(ASN)和IP地址块,并确定每个资源的各种联系点。
确定这些地址块中是否有任何地址块是从另一个不同的组织重新分配的。
l 确定任何已重新分配或重新分配给其他组织的地址块。
l 确定每个AS和IP地址分配是否由具有适当区域互联网注册管理机构(RIR)的注册服务协议(RSA)覆盖。
l 确保在适当的RIR数据库中输入和维护最新的联系信息。
(2)确定组织与之互连以交换BGP路由信息和/或IP数据流量的相邻AS。
l 对于每个此类网络,确定与其他AS的业务关系性质(即,它是上游传输服务提供商、传输服务客户还是反映无结算关系的对等连接)。
(3)通过识别以下内容记录组织如何使用BGP路由:
l 组织自己的哪些地址前缀来自使用BGP公告的组织AS;
l 组织的哪些地址前缀依赖于其他组织的AS来发起其BGP公告;
l 其他实体持有的哪些地址前缀来自使用BGP公告的组织网络;以及
l 哪些流程(例如域间流量工程)或服务(例如DDoS缓解服务)可能会改变组织BGP公告的来源AS或粒度(即前缀长度)。
(4)识别组织内部需要互联网访问的信息系统和服务,以及在BGP中宣布的用于实现该访问的相应地址前缀。评估维护来自组织网络或代表其从其他网络发起的每个地址前缀的弹性互联网路由的关键性(例如组织任务影响)。
(5)确定对组织内部运营至关重要的所有已签约的外部/外包服务提供商(例如,Web、DNS、电子邮件、存储等),并记录如何提供往返这些服务的路由。评估维护通往组织外部服务提供商的弹性互联网路由的重要性。
(6)建立、传达、监控和维护互联网路由的风险管理策略、职责和政策。这可能包括评估如果上述系统、服务和服务提供商的BGP路由的可用性或完整性中断将产生的影响。
(7)根据组织的网络风险管理策略,确定优先创建面向资源的架构(ROA)的地址前缀并采取行动。
(8)考虑优先为包含最关键服务或具有最直接路由的IP地址块创建ROA。如果为不同的地址块优先创建ROA,请确定用于此决策过程的具体标准。
(9)根据风险管理策略,优先考虑ROV覆盖的AS。
l 继续监测BGP路由安全性的发展,包括采用新安全机制的最佳实践指南、威胁分析和事件报告以及标准及其商业化的新发展。将此领域的任何变化纳入未来的风险管理计划修订中。
2.面向资源的架构(ROA)的发布
所有网络运营商和拥有IP地址资源的实体都应在由相应RIR托管或授权的公共RPKI存储库中创建和发布ROA。运营商应使用基于风险的网络安全风险管理计划,优先发布其评估为高价值或高风险的地址前缀的ROA。
3.合同要求
使用合同外部服务(例如IP传输服务、基础设施服务、云和内容服务等)的网络运营商应在未来的服务合同中明确要求其提供商验证支持BGP的路由。
4.监控
网络运营商应监控其ROA数据的状态、路由安全威胁、中断和中断,并评估其互联网路由服务的质量。此类监控可以在内部进行,也可以通过商业监控服务进行合同签订。
二、网络服务商提供的附加措施
除了上述基本建议外,网络服务提供商还具有独特的优势,可以增强更广泛生态系统的路由安全性。这些行动包括:
1.ROV部署。网络服务提供商应为其客户部署ROV过滤或安排上游提供商这样做。大型和小型提供商都对ROV过滤负有责任,鼓励大型提供商代表小型客户网络实施ROV。对于具有多个ASN的组织,请考虑优先考虑传播前缀数量最多且下游AS数量最多的AS的ROV。
2.促进客户ROA创建。向客户分配地址空间的网络服务提供商应提供工具和指导,使其客户能够创建ROA—例如,通过网络服务提供商的服务门户。网络服务提供商应为其客户提供指导,鼓励他们注册RIR RPKI服务。网络服务提供商应考虑提供或创建服务,以支持愿意将ROA创建委托给服务提供商的客户。
3.路由安全实践披露。网络服务提供商应披露其在其网络上实施路由安全的行动。提供商应建立标准化的安全实践披露方式和格式。
三、联邦政府与通信和信息技术部门利益相关者合作的行动
联邦政府应与通信和信息技术(IT)部门利益相关者合作,采取具体行动来提高互联网路由安全性。美国网络安全和基础设施安全局(CISA)作为通信和IT关键基础设施部门的行业风险管理机构,将与ONCD协调并与通信和IT部门协调委员会合作,在关键基础设施伙伴关系咨询委员会的主持下成立一个联合工作组,以开发资源和材料,推动ROA和ROV实施和互联网路由安全。这项工作应包括:
1.风险标准和优先级框架开发。工作组应为网络运营商制定标准和框架,以评估风险并优先考虑IP地址资源和关键路由来源(例如政府使用、关键基础设施运营等),以应用路由安全措施,包括ROA和ROV。此外,工作组应确定有意义的进展衡量标准,并为网络服务提供商创建一套标准化的模板,以披露路由安全实践。
2.网络服务提供商为客户制定的行动手册。工作组应根据不同的行业观点和互联网服务生态系统的各个部分制定一份行动手册,概述客户建立ROA的步骤。
3.其他活动和进度更新。工作组应随时了解社区内的最新动态,并定期向联邦政府提供最新信息,以解决优先问题领域,包括:
(1)是否以及如何纳入其他新兴的BGP安全标准或机制(当它们可供商业使用时);
(2)研究和开发重点和机会;
(3)国际参与努力,以加速提高全球生态系统的BGP安全性(例如,协调国际标准、互惠协议和改善伙伴关系);
(4)工作组确定的其他感兴趣领域。
四、联邦政府的具体政策行动
美国联邦部门和机构应在其网络上实施路由安全,将路由安全纳入采购要求,与关键利益相关者社区进行接触,评估路由事件导致的中断数据,推广和激励路由安全最佳实践,提供培训,减少路由安全障碍,并监控路由安全威胁。
1.联邦企业指南。管理和预算办公室(OMB)应为联邦部门和机构制定指南,以便及时实施ROA,并与机构风险评估保持一致。
2.合同要求。OMB通过联邦采购监管委员会并与总务管理局协调,应要求联邦政府的合同服务提供商采用和部署当前商业上可行的互联网路由安全技术,并对连接到互联网的合同服务执行ROV过滤。联邦客户应咨询其当前的网络服务提供商供应商有关实施路由安全的信息。
3.联邦拨款指南。提供拨款资金建设关键基础设施(包括互联网连接系统或技术,尤其是宽带网络)的联邦机构应要求拨款接受者将路由安全措施纳入其项目中。
4.指标和进度报告。OMB应建立报告机制,用于衡量联邦机构采用ROA的情况、监测进度并在适当情况下进行分析。这项工作应利用学术和第三方合作伙伴提供的现有数据源和工具。
5.标准和技术开发。NIST应继续领导和协调USG的努力,以研究、标准化和促进BGP安全和弹性机制的商业化,以解决剩余的BGP漏洞,包括恶意BGP路径操纵、路由泄漏缓解和对等身份验证。NIST还应继续开发监测和测量工具,以评估这些附加机制的全球部署的进展和正确性。
6.外联和教育。CISA应通过其公私合作努力开展外联活动,以提高美国企业网络所有者对ROA和ROV好处的认识。CISA应继续增强网络防御者对正常路由行为、路由异常和影响网络安全策略的路由特定风险的战术理解。
7.国际参与。国务院应与相关机构协调,在与国际合作伙伴的合作中强调互联网路由安全工作和最佳实践,以提高人们对采用互联网路由安全措施(例如RPKI、ROA和ROV)的好处的认识。
8.研究与开发。研究资助机构(例如NSF)应继续资助开发以互联网路由为重点的测量、监控和警报技术,以促进美国和全球互联网路由安全部署工作。资金应支持政府实体、学术机构和独立主题专家,以衡量进展、开发解决方案并为未来创新提供信息。持续的投资还应解决下一代威胁和解决方案。本文件中描述的技术适用于今天,但新的威胁将不断出现,需要进行研究以减轻未来的威胁。