社会越来越依赖互联网作为关键基础设施。域间路由是一种核心Internet协议,它使流量能够跨独立网络在全球范围内流动。对互联网基础架构安全的担忧促使决策者尤其是促进更强的路由安全性,尤其是资源公钥基础设备(RPKI)。RPKI是一个加密框架,可确保2012年标准化的路由。在2024年,RPKI证书仍未涵盖近50%的路由IP地址块。目前尚不清楚哪些障碍可以阻止NET-WORKS采用RPKI。本文调查了RPKI采用较低的网络,以了解采用率低或为什么不存在的网络。我们发现网络的地理领域服务,规模,业务类别和地址空间委托的复杂性影响RPKI的采用。我们的分析可能有助于指导决策者为促进RPKI采用并改善路线安全状况的努力。
•路线劫持是一个合法的威胁。•任何拥有或管理逻辑网络资源的组织都应保护其利益相关者免受资源公共密钥基础架构(RPKI)的影响的影响。•RPKI允许网络资源所有者制作数字签名和可验证的断言a.K.A。路线起源授权(ROA),证明特定的自主系统(AS)有权启动路线前缀。•随着时间的流逝,越来越多的上游网络提供商将根据ROA的有效性做出路由决策。•实施路由安全性和RPKI是国家网络安全战略中认可的优先事项,并且随着时间的流逝将变得越来越重要。
•将要求服务提供商准备和维护保密的BGP路线安全风险管理计划(BGP计划),这些计划(BGP计划)描述并证明了他们所做的具体努力,并进一步计划他们打算承担,以创建和维护RPKI中的路线原产地授权(ROAS)。BGP计划(可能是基于风险的绩效计划)也必须在服务提供商在与同行和客户的互连点上进行路线来源验证(ROV)过滤的程度。计划还将为RPKI实施提供目标和时间表。将要求九个大型服务提供商提交初始的BGP计划,并在此后每年重新提交更新版本。随后的BGP计划不需要由大型提供商提交,证明他们正在维护ROA,涵盖了至少90%的IP地址前缀原始路线。
此路由安全配置文件不仅涵盖硬件,软件和服务基础结构,还涵盖包括BGP在内的核心路由协议以及Resource Public键基础结构(RPKI)等新兴技术。它是网络工程师,安全分析师和高管的适应性和可行指南,可评估和增强路由安全性,稳定性和弹性。此路由安全配置文件包含与改进路由安全性有关的注意事项的目录,包括路由起源授权(ROA),路由起源验证(ROV),BGP同伴身份验证,前缀过滤和监视路由异常。采用此个人资料将使组织能够主动识别和减轻路由威胁,促进优先级的沟通,并最终建立能够承受互联网路由安全性的新兴威胁。
21 世纪初期,IETF 成立了安全域间路由 (SIDR) 工作组,其任务是开发边界网关协议 (BGP) 的安全模型,旨在消除或降低 BGP 劫持和其他针对核心路由基础设施的攻击的成功率。其结果是开发了一种两阶段安全方法,一个基于自治系统 (AS) 公告的前缀(IP 地址范围)起源,另一个处理此类公告所经过的路径的验证。第一阶段称为资源公钥基础设施 (RPKI),自 2013 年初以来一直处于部署阶段,第二阶段称为 BGPsec,包括对 BGP 规范 RFC 4721 的修改。BGPsec 于 2017 年底成为 RFC 标准。在此期间,NIST 积极参与必要 RFC 的开发,并同时开发了参考实现,以解决已开发安全模型的两个层级。
项目摘要:互联网网络安全。互联网已成为任何国家关键基础设施的重要组成部分,社会变得越来越数字化。由于使用了互联网(例如医疗保健和公共交通),它对公民的生活产生的高影响是不可否认的。由于这一事实,我们已经开始观察到的网络犯罪和网络沃尔致敬是不可避免的。研究对网络的攻击。该项目旨在在实验上研究影响当今互联网的一些最相关的网络安全攻击,并评估现有防御能力的有效性。攻击是(a)针对路由的,例如BGP前缀劫持和路由泄漏,以及使用RPKI来减轻它们; (b)扫描在其他网络中寻找漏洞,以及数据包过滤如何增加一定程度的保护; (c)由由botmaster控制的机器人组成的僵尸网络来发动攻击;和DDOS攻击(例如在第4层和第7层)以及如何流动,黑手旋,任何播放和数据包过滤可以帮助减轻攻击的影响。僵尸网络和DDOS攻击将一起探索。Internet-in-a-box。该方法包括使用称为“ Mini-Internet”的受控环境来构建代表每个攻击的方案。Mini-Internet环境于2020年由Eth Zurich(https://github.com/nsg-ethz/mini_internet_project)引入,并已广泛用于教学学生如何运作,包括Waikato大学(Compx304 2021-2024)。方法和挑战。该软件平台创建了一个具有高水平现实主义的“ Internet-In-A-in-box”。网络由主机和路由器组成,运行虚拟化的Linux和FRR软件路由器,该软件是当今在Internet上为许多路由器提供的相同软件。该项目将探索环境可以使用100多个独立网络(称为自主系统)的场景的命名攻击和缓解的可行性和现实主义水平。创建此类情况会带来许多功能和非功能性的挑战或局限性。功能限制是指难以模仿某些攻击或保护措施,而非功能是指系统尺寸和性能的限制(环境将在一台机器上运行,例如多核服务器)。结果。创建的方案以及产生的结果在研究和教学中具有潜在用途。