详细内容或原文请订阅后点击阅览
边界网关协议安全性和弹性 | NIST 发布 SP 800-189 修订版 1 的公开草案
近年来,边界网关协议 (BGP) 前缀劫持和路由泄漏等大量互联网路由事件导致数据被传送到非预期目的地,从而转移互联网上的路径以通过
来源:美国国家标准与技术研究院__通讯信息近年来,边界网关协议 (BGP) 前缀劫持和路由泄漏等众多互联网路由事件已导致数据被传送到非预期目的地、互联网路径被转移以通过非预期网络以及互联网服务中断。无论是由于配置错误还是恶意操作导致,此类 BGP 安全和弹性事件都可能危及通信安全和隐私、导致拒绝服务,和/或破坏关键基础设施运营。
NIST 发布了 NIST 特别出版物 (SP) 800-189《边界网关协议安全和弹性》第 1 版的初始公开草案 (IPD)。本文档提供了技术指导和建议,以提高基于 BGP 的互联网路由的安全性和弹性。本文档中推荐的用于保护互联网路由的技术包括资源公钥基础设施 (RPKI)、路由来源授权 (ROA)、基于 ROA 的路由来源验证 (ROA-ROV) 和前缀过滤。此外,建议用于缓解 DDoS 攻击的技术侧重于使用源地址验证 (SAV) 和访问控制列表 (ACL) 以及单播反向路径转发 (uRPF) 来防止 IP 地址欺骗。还建议将其他技术作为整体安全机制的一部分,例如远程触发黑洞 (RTBH) 过滤和流量规范 (Flowspec)。
NIST 特别出版物 (SP) 800-189, 边界网关协议安全性和弹性 边界网关协议安全性和弹性虽然本文档旨在指导联邦企业网络的信息安全官员和管理人员,但它也适用于托管提供商(例如基于云的应用程序和服务托管)和支持联邦 IT 系统的互联网服务提供商 (ISP) 的网络服务。本指南也可能对企业和传输网络运营商以及设备供应商有用。