Битва за BGP: Белый дом внедряет RPKI и ROA в сетях США
Белый дом делает ставку на RPKI, ROA и ROV в защите трафика.
В новом отчете Белого дома подробно описываются шаги, которые необходимо предпринять для повышения безопасности маршрутизации интернета с использованием протокола BGP (Border Gateway Protocol), который играет ключевую роль в управлении интернет-трафиком между сетями по всему миру.
Вопросы безопасности маршрутизации начали привлекать внимание правительства США еще в 2022 году, когда стало известно о случаях перехвата интернет-трафика иностранными хакерами через уязвимости в протоколе BGP. Такие атаки, известные как BGP hijacking , стали одной из причин для разработки данной дорожной карты.
В работе над отчетом принимали участие несколько ключевых государственных агентств, включая Министерство юстиции (DOJ), Министерство обороны (DOD), Федеральную комиссию по связи (FCC), Агентство по кибербезопасности и защите инфраструктуры (CISA), а также Управление национального директора по кибербезопасности (ONCD) Белого дома.
Хотя рекомендации ONCD нельзя назвать революционными, они соответствуют текущим лучшим практикам отрасли. В частности, операторам интернет-сетей рекомендовано использовать такие технологии, как RPKI, ROA и ROV. Эти криптографические инструменты помогают удостовериться, что организация, управляющая IP-адресами, действительно владеет ими и может объявлять маршруты через эти адреса.
Особое внимание в отчете уделено внедрению RPKI и связанных с ним технологий, таких как ROA, которая позволяет подтверждать, что только определенная сеть имеет право объявлять маршруты для конкретного блока IP-адресов. Технология ROV, в свою очередь, проверяет, что маршруты, объявленные другими сетями, являются корректными и безопасными.
Помимо этого, Белый дом также упомянул технологию BGPsec , которая представляет собой расширение протокола BGP, предлагающее дополнительные функции безопасности. Однако внедрение такой технологии не является приоритетом на текущем этапе. Вместо этого, правительство США выбрало постепенный подход, в рамках которого операторам сетей предлагается начать с внедрения ROA как первого шага к улучшению безопасности маршрутизации.
Важной частью стратегии является сотрудничество с частным сектором. Белый дом планирует совместно с CISA создать рабочую группу, которая будет разрабатывать рекомендации и материалы, направленные на упрощение процесса внедрения технологий RPKI, ROA и ROV.
Согласно данным Национального института стандартов и технологий (NIST) , сегодня почти половина маршрутов в сети BGP уже проверяется с использованием ROV, а по данным исследования компании Kentik , более 70% маршрутов IPv4 уже защищены с помощью ROA. Однако, как отмечает Cloudflare , основная проблема заключается в том, что большая часть этого защищенного трафика исходит от зарубежных операторов сетей, тогда как компании в США пока отстают в внедрении этих технологий.