XiaoMi-AI文件搜索系统
World File Search System域间路由
Henry Birge-LeeHenry Birge-Lee
我在普林斯顿的项目上工作,以保护BGP攻击中的域验证证书,并与Let's Encrypt Engineering和SRE团队的成员紧密合作,以分析其部署多个Vantage Point Point域控制验证的部署。我还与普林斯顿大学,苏黎世Eth和Virginia大学的研究人员合作开发和部署了一个域间路由安全系统,该系统利用了新兴的安全骨干技术的部分部署,以增强全球互联网安全性(包括非参数网络的安全性)。
朝着基于区块链的安全BGP路由,挑战和未来的研究方向
边界网关协议(BGP)是Internet的标准域间路由协议,它传达了网络层的可及性信息,并建立了通往不同目的地的路由。BGP协议表现出安全设计缺陷,例如无条件的信任机制以及BGP相邻节点对同行的BGP路线公告的默认接受,很容易触发前缀劫持,路径伪造,路线泄漏和其他BGP安全威胁。同时,依靠公共密钥基础架构的传统BGP安全机制面临单一失败和单个信任点等问题。区块链的权力下放,反侵略和可追溯性优势为构建安全和值得信赖的域间路由机制提供了新的解决方案想法。在本文中,我们详细概述了BGP协议的特征,分解BGP安全威胁及其原因。此外,我们分析了传统的BGP安全机制的缺点,并全面评估了基于区块链的解决方案,以解决上述问题,并验证基于区块链的BGP安全方法在缓解BGP安全威胁时的可靠性和有效性。最后,我们讨论了BGP安全问题和未来研究的概述前景所带来的挑战。
BGP 安全路由扩展 (BGP-SRx)
21 世纪初期,IETF 成立了安全域间路由 (SIDR) 工作组,其任务是开发边界网关协议 (BGP) 的安全模型,旨在消除或降低 BGP 劫持和其他针对核心路由基础设施的攻击的成功率。其结果是开发了一种两阶段安全方法,一个基于自治系统 (AS) 公告的前缀(IP 地址范围)起源,另一个处理此类公告所经过的路径的验证。第一阶段称为资源公钥基础设施 (RPKI),自 2013 年初以来一直处于部署阶段,第二阶段称为 BGPsec,包括对 BGP 规范 RFC 4721 的修改。BGPsec 于 2017 年底成为 RFC 标准。在此期间,NIST 积极参与必要 RFC 的开发,并同时开发了参考实现,以解决已开发安全模型的两个层级。
识别RPKI采用中的当前障碍
社会越来越依赖互联网作为关键基础设施。域间路由是一种核心Internet协议,它使流量能够跨独立网络在全球范围内流动。对互联网基础架构安全的担忧促使决策者尤其是促进更强的路由安全性,尤其是资源公钥基础设备(RPKI)。RPKI是一个加密框架,可确保2012年标准化的路由。在2024年,RPKI证书仍未涵盖近50%的路由IP地址块。目前尚不清楚哪些障碍可以阻止NET-WORKS采用RPKI。本文调查了RPKI采用较低的网络,以了解采用率低或为什么不存在的网络。我们发现网络的地理领域服务,规模,业务类别和地址空间委托的复杂性影响RPKI的采用。我们的分析可能有助于指导决策者为促进RPKI采用并改善路线安全状况的努力。
BGP 协议
与大多数内部网关协议 (IGP) 不同,BGP 仅在会话开始时发送一次完整的路由更新,之后仅发送增量更改。BGP 仅重新计算与这些更新相关的路由信息;它没有像 OSPF 或 IS-IS 中的 SPF 计算那样必须更新所有路由信息的进程。虽然 IGP 的收敛速度可能更快,但 IGP 无法扩展以支持域间路由所需的路由数量。IGP 还缺少 BGP 所携带的路径属性,而这些属性对于选择最佳路由和构建路由策略至关重要。由于路径属性本身就支持路由策略,BGP 是唯一可以在不同自治系统之间使用的协议。这些策略意味着路由信息在用于制定转发决策之前可以被接受、拒绝或更改。这种能力使网络运营商能够高度防范不良路由信息,并根据自身特定需求控制路由信息。
了解现实世界中的路线来源验证(ROV)部署,以及为什么不遵循Manrs Action 1
摘要 - BGP劫持是对路由安全性最重要的威胁之一。为了提高域间路由的可靠性和可用性,为防御BGP劫持做出了许多工作,并且路线起源验证(ROV)已成为当前的最佳实践。但是,尽管相互同意的路线安全性规范(MANRS)一直鼓励网络运营商至少验证其客户的宣布,但最近的研究表明,许多网络仍然没有完全部署ROV或传播对客户的非法公告。要了解现实世界中的ROV部署,以及为什么网络运营商不遵循Manrs提出的行动,我们对ROV部署进行了长期测量,并进一步发现,许多不合格的网络只能在客户界面的一部分,或提供者或同伴接口处部署ROV。然后,我们提出了第一个通知实验,以研究通知对ROV修复的影响。但是,我们的分析表明,没有任何通知处理具有重大影响。之后,我们在网络运营商之间进行了一项调查,发现经济和技术问题是不合规的两个主要原因。寻求现实的ROV部署策略,我们进行了大规模的模拟,令我们惊讶的是,发现不遵循Manrs Action 1可以更好地防御前缀劫持。最后,有了我们所有的发现,我们提供了实用的建议,并概述了未来的指示,以帮助促进ROV部署。