博客

为什么互联网服务提供商必须在2021年启用RPKI以实现更安全的互联网

全球网络NEw.jpg

Nathalie Trenaman是地区互联网注册中心RIPE NCC的路由安全项目经理,她解释了为什么isp加强路由安全将为所有人创造一个更安全的互联网。

随着我们发现自己越来越多地使用互联网来管理我们的生活,互联网路由和安全成为一个越来越重要的话题。一段时间以来,它依赖于几十年前设计的基于信任的边界网关协议(BGP)模型。BGP缺乏当前所需的内置安全性,以防止“胖手指”甚至恶意劫持所带来的安全风险,这些风险已被证明是非常重要的。

在圣诞节和2020年新年之间的一周,通常是BGP更新和更改相对安静的一周,RIPE NCC发现了大量可疑活动,这些活动与打字错误密切相关。这些错误是许多网络中断的现实情况,网络工程师的一个简单错误就可以影响完全不同位置的互联网连接。这些中断可能对企业不利,停机时间甚至可能使网络容易受到黑客拦截互联网流量的攻击。因此,很明显,需要采取一些措施来解决当前系统的安全问题。

引入RPKI

这就是资源公钥基础设施(又称RPKI)至关重要的地方。RPKI开发的目的是通过加密验证路线来保护互联网路由,其功能就像一辆警车把你拉到路边,检查你的驾照和车牌,以验证你开的不是一辆偷来的车。RP万博注册网止KI是一种社区驱动的路由安全创新,它将IP地址和AS号连接到一个信任锚,需要两个步骤——路由起源授权(ROA)和路由起源验证(Route Origin Validation)——来实现其数字验证的重要目标。

首先,IP地址或ASN的持有者必须创建一个ROA,以数字方式验证AS号应该来自何处。第一个阶段很重要,因为所有这些路由语句都收集在一个存储库中,操作员使用该存储库执行路由原点验证。然后将BGP公告与存储库进行比较,捕获无效的公告并将其释放。这是阻止意外错误传输以及防止不良行为者错误地发起他们没有所有权的路由的真正关键。

进步的一年

2020年对RPKI来说是重要的一年。我们见证了这种势头的真正聚集,几乎所有主要的一级传输和云isp都采用了这种势头,包括RETN、Telia、亚马逊、Cloudflare和Netflix。除了这些大公司之外,谷歌、AT&T和Telstra等其他重要公司已经开始了这一进程,并接近在其网络中启用RPKI。不仅是互联网服务提供商,我们还看到了一些欧洲ixp的进展,包括英国、爱尔兰、德国和法国的ixp。

该行业已经克服了第一个障碍——在Covid-19大流行的背景下,这是一个重大发展,这对RPKI的使命提出了挑战。

在最近全球封锁期间对互联网的依赖导致isp不愿实施任何可能导致中断的重大网络变化,这是可以理解的。对于这些企业来说,坚持必要的升级并尽可能避免终端用户中断的机会更有意义。

对于许多在2020年实施RPKI的isp来说,这一过程在前一年就已经开始了——在测试和跟踪过程后,这些isp有信心在2020年启动开关。

启用RPKI的压力越来越大

虽然2020年的成功值得庆祝,但仍有更多工作要做。因特网是一个复杂的网络网络,RPKI只保护使用它的网络附近的路由。这意味着它可以防止来自网络的路由的第一跳的劫持,但它不能保护整个路由路径。这就是为什么有更多的玩家实现RPKI以及社区定义保护整个路由路径的标准是至关重要的。万博注册网止

现在,一级isp已经完成了繁重的工作,我们需要确保所有层的安全。接下来要升级的是维珍、BT、康卡斯特和威瑞森等二级互联网服务提供商,他们在未来一年将面临越来越大的压力来启用RPKI。然而,他们当然应该从大公司最近的成功故事中获得信心。

虽然这些互联网服务提供商在大流行之后可能过于谨慎,但重要的是他们现在就开始行动——因为即使大流行结束了,互联网仍将继续对我们的生活至关重要。通过采取必要的步骤来解锁更强的路由安全,该行业可以为所有人创建一个更安全的互联网。