互聯(lián)網(wǎng)的邊界網(wǎng)關(guān)協(xié)議(BGP)似乎是黑客和獨立國家眼里的新寵兒，不過BGP專家Wim Remes表示，濫用BGP絕不是什么新現(xiàn)象――確保BGP安全實際上相當簡單。

Remes是Rapid7公司的歐洲、中東和非洲區(qū)(EMEA)戰(zhàn)略服務(wù)經(jīng)理，他說：“我認為，最大的問題是了解互聯(lián)網(wǎng)上的信任。”Remes表示，有一些基本的方法可以嚴格確保BGP的安全，但是這么做的服務(wù)提供商或企業(yè)組織為數(shù)并不多。

Remes近日出席了拉斯維加斯召開的黑帽大會，他在題為《BPG安全現(xiàn)狀》的分會上概述了BGP安全方面的觀點。他說：“面向BGP的這些安全技術(shù)效果非常好，而且部署起來成本低廉，自治系統(tǒng)號(ASN)所有者缺少部署這些安全技術(shù)的動機。”

不過Remes表示，如今的一大首要問題卻是互聯(lián)網(wǎng)上的信任，愛德華•斯諾頓泄露頗有爭議的美國國家安全局(NAS)監(jiān)視行為之后，信任嚴重受挫。

與此同時，網(wǎng)絡(luò)犯罪分子和獨立國家日益濫用互聯(lián)網(wǎng)底層的BGP流量路由架構(gòu)，出于牟利或政治原因，劫持或擾亂網(wǎng)絡(luò)。BGP有可能通過路由器假冒、分布式拒絕服務(wù)攻擊和流量劫持而遭到濫用。

OpenDNS的 Dan Hubbard將在黑帽大會上發(fā)布一款新的免費工具，名為BGP Stream，它可以通過推文發(fā)布可疑的BGP/自治系統(tǒng)號(ASN)更新和變化方面的警示信息，那樣網(wǎng)絡(luò)所有者、互聯(lián)網(wǎng)服務(wù)提供商(ISP)和主機托管提供商就能隨時了解惡意的網(wǎng)絡(luò)變化，這些網(wǎng)絡(luò)變化可能會劫持或者以其他方式擾亂流量。OpenDNS的首席技術(shù)官Hubbard說，BGP是攻擊者的武器庫中的“新式家伙”。

Rapid7的Remes建議對BGP進行監(jiān)控，另外加固BGP路由器和用來配置及監(jiān)控BGP基礎(chǔ)設(shè)施的系統(tǒng)，此外對那些系統(tǒng)實行“嚴格的訪問控制”。

據(jù)Remes聲稱，為BGP路由系統(tǒng)部署資源公鑰基礎(chǔ)設(shè)施(RPKI)是另一種明顯的安全方法。RPKI可以核實/驗證分配的路由來自合法的來源，而不是惡意的來源，因而防止流量重新路由至惡意目的地。Remes表示，實施RPKI成本低廉，而且相當簡單。他說：“路由器收到更新后，它們由本地的區(qū)域注冊機構(gòu)加以簽名。”

他特別指出，部署來自RIPE的開源RPKI驗證軟件花不了15分鐘。

他表示，ISP及其他大型企業(yè)組織可能會采用它。RPKI提供的核實/驗證機制酷似DNSSec為DNS流量提供的那種機制。他表示，RPKI還讓你可以“在你和同伴之間創(chuàng)建不同的信任級別”。

他表示，BGP監(jiān)控是另一種簡單而有用的做法。比如說，科羅拉多大學平時就收集和監(jiān)控BGP流量，并提供實時的源源不斷的BGP事件。Hurricane Electric這家互聯(lián)網(wǎng)服務(wù)提供商就使用BGP儀表板和數(shù)據(jù)集用于跟蹤BGP問題，Team Cymru也在監(jiān)控BGP流量。

總部位于盧森堡的計算機緊急響應(yīng)小組-盧森堡計算機事件緊急響應(yīng)中心(CERT CIRCL)在運行BGP Ranking項目，該項目把BGP數(shù)據(jù)與惡意活動(惡意軟件和IP黑名單)關(guān)聯(lián)起來。

Remes說：“完全有大量的BGP數(shù)據(jù)可供使用。”

那么，企業(yè)應(yīng)該如何做好BGP安全工作呢?他說：“明白你自己擁有哪些資產(chǎn)，監(jiān)控你自己的自治系統(tǒng)號(ASN)或者是基于云的ASN。有人會將目光瞄準你或你依賴的服務(wù)，”所以跟蹤BGP流量大有幫助，他如是說。

Remes表示，但是如今采用RPKI的組織其比例大概只有7%，據(jù)RIPE聲稱，到2020年連50%都達不到。據(jù)Remes聲稱，這不夠好：“ASN所有者應(yīng)該力爭比這做得更好。”