> 网络安全信息安全_黑客技术知识培训_网络安全资讯新媒体_E安全
首页 最新 国内 国际 数据泄露 网络战 行业 报告 观点 预警 最新 安全意识 人工智能 招聘 云计算 大数据 程序员 系统 专家 融资 人物

美国NIST联合DHS发布第一份防范BGP劫持的安全标准草案

  • E安全资讯来源-黑客视界
  • E安全
  • /
  • 行业
  • /
  • 2018-09-11

题记:各位看官,周二早安。BGP前缀劫持发生越来越频繁,促进了BGP安全草案的出台。BGP缺乏有效验证机制,而相邻AS之间无条件信任,即认为邻居AS提供的路由信息都是当前真实的网络拓扑,因此给攻击者带来可乘之机。该安全标准的出台,可能会让BGP劫持成为历史。


E安全9月11日讯美国国家标准技术研究所(简称 NIST)与国土安全部(简称 DHS)联合发布关于 GBP 路由来源验证( ROV)标准的全新初稿,此项标准将帮助互联网服务供应商与云服务供应商抵御 BGP 劫持攻击。

美国NIST联合DHS发布第一份防范BGP劫持的安全标准草案-E安全

这项启动于2017年10月的互联网绑定协议制定工作,目前终于迎来初步成果。
就在上周,NIST 下辖的国家网络安全卓越中心(简称 NCCoE)发布了一份安全标准初稿,此项标准旨在为边界网关协议(BGP)提供保护。

关于BGP    

BGP 是一项负责将各互联网服务供应商(ISP)、托管服务供应商、云服务供应商以及教育、研究与国家网络连接起来,从而实现网络之间流量发送的核心协议。换言之,其能够将众多小型网络统一构建为整体互联网。

BGP 协议设计于上世纪八十年代,且最后一次重大修订于1995年完成——当时,安全显然还没有成为互联网面临的致命威胁。

美国NIST联合DHS发布第一份防范BGP劫持的安全标准草案-E安全

什么是BGP劫持?

自那时开始,恶意攻击者一直在滥用 BGP 协议以引导小型网络将网络流量数据块发送至错误的目的地,从而实现对目标流量的拦截、嗅探或者篡改。此类攻击行为通常被称为 BGP 劫持,其近年来已经成为一大严重问题,并引发一系列重大安全事件。

这些只是过去几年当中曝光的 BGP 劫持事件的一小部分,类似状况还有更多。

美国NIST联合DHS发布第一份防范BGP劫持的安全标准草案-E安全

“IETF SIDR ”项目    

2017年10月,美国国家标准技术研究所与美国国土安全部科学与技术理事会共同启动了一个名为安全域间路由(SIDR)的联合项目,明确提出应对 BGP 协议进行保护以抵御此类攻击威胁。

NIST 下辖国家网络安全卓越中心在当时的一份声明中指出,“我们的主要目标,在于利用加密方法确保路由数据沿网络间的授权路径进行传播。”

“IETF SIDR ”项目主要分为三个基本组成部分:

第一:资源公钥基础设施(简称RPKI),负责为互联网地址持有方——通常为企业或云服务供应商——提供控制能力,用以规定哪些网络能够与其地址块进行直接连接;
   

其二: BGP 来源验证机制,允许路由器利用 RPKI 信息对未经授权的 BGP 路由通告进行过滤,从而确保恶意方无法轻松将流量劫持至特定目的地;
   

第三: BGP 路径验证(简称GBPsec),即IETF刚刚发布的标准草案(RFC 8205至8210)中描述的内容。”

备注:RPKI 为 IETF 下辖 SIDR 工作组的产品,NIST 与 DHS 只是参与其中,但目前 RPKI 被纳入 NIST 与 DHS 的 SIDR 项目之内。

BGP 路由来源验证(ROV)标准    

本周早些时候,NIST 与 DHS 团队共同发布了其 BGP 路由来源验证(ROV)标准的初稿。

NIST 在本周的一份新闻稿中表示,“本指南中描述的示例方案,旨在通过验证路由来源以保护数据完整性,同时提高互联网流量交流机制的弹性。”

“基于此项标准的示例解决方案将被部分或者全部引入商用产品。此外,其还可以作为参考素材,帮助各类组织设计出自己的定制化解决方案。”

此份草案目前已经面向公众及私营部门开放,并将在10月15日之前持续征求改进意见。在此之后,草案将交由IETF(互联网工程任务组,负责批准各类互联网标准)进行审查与批准。

此外,IETF 网站上还以 RFC 8210 与 RFC 8206 的形式发布了 BGP RPKI 与BGPsec 两项 SIDR 协议标准。

推荐阅读:

怎样监控BGP?如何快速解决BGP劫持?

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。

合作伙伴 更多