互聯(lián)網(wǎng)的邊界網(wǎng)關(guān)協(xié)議(BGP)似乎是黑客和獨(dú)立國家眼里的新寵兒，不過BGP專家Wim Remes表示，濫用BGP絕不是什么新現(xiàn)象――確保BGP安全實(shí)際上相當(dāng)簡單。

Remes是Rapid7公司的歐洲、中東和非洲區(qū)(EMEA)戰(zhàn)略服務(wù)經(jīng)理，他說：“我認(rèn)為，最大的問題是了解互聯(lián)網(wǎng)上的信任。”Remes表示，有一些基本的方法可以嚴(yán)格確保BGP的安全，但是這么做的服務(wù)提供商或企業(yè)組織為數(shù)并不多。

Remes近日出席了拉斯維加斯召開的黑帽大會(huì)，他在題為《BPG安全現(xiàn)狀》的分會(huì)上概述了BGP安全方面的觀點(diǎn)。他說：“面向BGP的這些安全技術(shù)效果非常好，而且部署起來成本低廉，自治系統(tǒng)號(hào)(ASN)所有者缺少部署這些安全技術(shù)的動(dòng)機(jī)。”

不過Remes表示，如今的一大首要問題卻是互聯(lián)網(wǎng)上的信任，愛德華•斯諾頓泄露頗有爭議的美國國家安全局(NAS)監(jiān)視行為之后，信任嚴(yán)重受挫。

與此同時(shí)，網(wǎng)絡(luò)犯罪分子和獨(dú)立國家日益濫用互聯(lián)網(wǎng)底層的BGP流量路由架構(gòu)，出于牟利或政治原因，劫持或擾亂網(wǎng)絡(luò)。BGP有可能通過路由器假冒、分布式拒絕服務(wù)攻擊和流量劫持而遭到濫用。

OpenDNS的 Dan Hubbard將在黑帽大會(huì)上發(fā)布一款新的免費(fèi)工具，名為BGP Stream，它可以通過推文發(fā)布可疑的BGP/自治系統(tǒng)號(hào)(ASN)更新和變化方面的警示信息，那樣網(wǎng)絡(luò)所有者、互聯(lián)網(wǎng)服務(wù)提供商(ISP)和主機(jī)托管提供商就能隨時(shí)了解惡意的網(wǎng)絡(luò)變化，這些網(wǎng)絡(luò)變化可能會(huì)劫持或者以其他方式擾亂流量。OpenDNS的首席技術(shù)官Hubbard說，BGP是攻擊者的武器庫中的“新式家伙”。

Rapid7的Remes建議對BGP進(jìn)行監(jiān)控，另外加固BGP路由器和用來配置及監(jiān)控BGP基礎(chǔ)設(shè)施的系統(tǒng)，此外對那些系統(tǒng)實(shí)行“嚴(yán)格的訪問控制”。

據(jù)Remes聲稱，為BGP路由系統(tǒng)部署資源公鑰基礎(chǔ)設(shè)施(RPKI)是另一種明顯的安全方法。RPKI可以核實(shí)/驗(yàn)證分配的路由來自合法的來源，而不是惡意的來源，因而防止流量重新路由至惡意目的地。Remes表示，實(shí)施RPKI成本低廉，而且相當(dāng)簡單。他說：“路由器收到更新后，它們由本地的區(qū)域注冊機(jī)構(gòu)加以簽名。”

他特別指出，部署來自RIPE的開源RPKI驗(yàn)證軟件花不了15分鐘。

他表示，ISP及其他大型企業(yè)組織可能會(huì)采用它。RPKI提供的核實(shí)/驗(yàn)證機(jī)制酷似DNSSec為DNS流量提供的那種機(jī)制。他表示，RPKI還讓你可以“在你和同伴之間創(chuàng)建不同的信任級(jí)別”。

他表示，BGP監(jiān)控是另一種簡單而有用的做法。比如說，科羅拉多大學(xué)平時(shí)就收集和監(jiān)控BGP流量，并提供實(shí)時(shí)的源源不斷的BGP事件。Hurricane Electric這家互聯(lián)網(wǎng)服務(wù)提供商就使用BGP儀表板和數(shù)據(jù)集用于跟蹤BGP問題，Team Cymru也在監(jiān)控BGP流量。

總部位于盧森堡的計(jì)算機(jī)緊急響應(yīng)小組-盧森堡計(jì)算機(jī)事件緊急響應(yīng)中心(CERT CIRCL)在運(yùn)行BGP Ranking項(xiàng)目，該項(xiàng)目把BGP數(shù)據(jù)與惡意活動(dòng)(惡意軟件和IP黑名單)關(guān)聯(lián)起來。

Remes說：“完全有大量的BGP數(shù)據(jù)可供使用。”

那么，企業(yè)應(yīng)該如何做好BGP安全工作呢?他說：“明白你自己擁有哪些資產(chǎn)，監(jiān)控你自己的自治系統(tǒng)號(hào)(ASN)或者是基于云的ASN。有人會(huì)將目光瞄準(zhǔn)你或你依賴的服務(wù)，”所以跟蹤BGP流量大有幫助，他如是說。

Remes表示，但是如今采用RPKI的組織其比例大概只有7%，據(jù)RIPE聲稱，到2020年連50%都達(dá)不到。據(jù)Remes聲稱，這不夠好：“ASN所有者應(yīng)該力爭比這做得更好。”