TWNIC推動RPKI建置三部曲 杜絕BGP路由劫持威脅

圖1：BGP路由來源劫持示意圖(資料來源：TWNIC提供)

現今企業已越來越仰賴網際網路來提供服務，尤其因疫情而採取的封城、居家隔離政策更使得線上流量暴增。這時有更多的誘因促使網路犯罪團體伺機而動，駭客不針對個別企業網站下手，而是看準網際網路通訊協定的漏洞，從利用BGP協定的信任機制對ISP宣告錯誤的路由，因而將流量導至駭客的伺服器，也就造成所謂BGP劫持(BGP Hijacking)。

對此，網際網路工程任務組(IETF)透過制定資源公鑰基礎建設(Resource Public Key Infrastructure；RPKI)標準來強化路由安全。而台灣經過2年推廣，目前超過98%的IPv4位址均已簽署RPKI ROA，在全球IPv4位址數量前百大國家中排名第一。

人為疏失、惡意攔截 BGP劫持造成封包資訊外洩

網路世界的路由是由Autonomous system(自治系統；AS)號碼串接組成。在正常的網路世界，若AS4要傳輸封包到AS1有許多條路徑可選擇，經由AS2再到AS1是最快速的路徑。然而若AS6未經授權卻宣告擁有與AS1相同的網段並通知其他節點路由器更新路由資訊，那麼AS4要傳送到AS1的封包就會被導至AS6，這就是BGP路由劫持(如圖1)。駭客攔截了這些流量可用來發送垃圾郵件、竊取加密貨幣，若AS6進一步偽造相似AS1 IP位址的網站就成為釣魚網站，可竊取更多受害者機密個資。

BGP路由劫持除了上述駭客去更改路由來源的惡意劫持外，也包括偽造AS路徑，讓原本由AS4→AS2→AS1，繞道成為AS4→AS2→AS3→AS1，在AS3就可竊取封包資訊發動中間人攻擊。另外人為疏失也可能導致BGP路由劫持，例如在路由設定時有錯別字或前置錯誤等。

根據維基百科，早在1997年就曾發生BGP劫持事件，而2008年巴基斯坦電信劫持YouTube流量更是造成當時YouTube全球服務因此中斷，由於巴基斯坦電信逕行宣告擁有YouTube所屬網段，而巴基斯坦的上游Tier 1 ISP電訊盈科(PCCW)基於信任BGP協定把此不正確路由資訊轉發至其他ISP，導致應傳至YouTube的流量轉向巴基斯坦電信。

近年BGP劫持更是有增多的趨勢。2018年11月就發生奈及利亞一家名為MainOne的ISP劫持Google流量約74分鐘，他們將路由路徑繞道俄羅斯TransTelecom、中國電信、MainOne然後才流至Google，MainOne事後調查稱此為人為設定錯誤所導致。而2020年4月又發生全球約200家CDN服務商遭BGP劫持事件，包括Facebook、Google、Amazon、Cloudflare、GoDaddy、Line等流量都被導向俄羅斯，歷時約1小時。TWNIC台灣網路資訊中心顧靜恆組長表示，發動BGP劫持對駭客來說非常容易，不需高深技術都可向ISP宣告擁有AS，因此近年BGP劫持事件日益增多。透過RPKI標準與路由來源認驗證機制，來偵測無論是惡意劫持或人為錯誤的BGP劫持也就勢在必行。

三階段RPKI建置計畫 逐步推動路由整體安全

在IETF制定透過路由來源驗證機制來確保路由的正確性後，TWNIC自2018年即開始制定RPKI推動計畫，透過三階段工作來達到強化路由安全的目標。經過2年的推廣目前已有初步成果，目前超過98%的IPv4位址已簽署RPKI ROA，第一階段成果斐然，緊接著46家擁有IP位址且有對外宣告路由的業者已進入第二階段，率先向其用戶證明能提供安全的連線服務。

第1階段 簽署路由來源授權

在2018年9月TWNIC RPKI CA與APNIC CA簽署授權後，TWNIC開始推動RPKI計畫。第一階段是簽署路由來源授權(Route Origin Authorizations；ROA)，這是指所有曾到TWNIC註冊的IP位址擁有者必須到TWNIC RPKI管理系統登記，設定某一段IP是由哪一個AS(自治系統)所宣告，以證明此路由來源是合法的。而這些設定好的ROA資料都會同步上傳到全球ROA資料庫，將來路由器收到路由便會與ROA資料庫比對，若是不合法的路由便能阻擋。

目前台灣約有3,500萬個IPv4位址，IP位址擁有者完成簽署ROA的已有150家，一共簽署2,485筆ROA，ROA簽署比例達到98%，在全球IPv4位址數量前百大國家中名列第一。然而，目前全球簽署ROA的比例僅23%，仍有待各組織大力推廣才能確保網路世界整體路由安全。

第2階段 連接路由來源驗證伺服器

而第二階段便是TWNIC建置路由來源驗證(Route Origin Validation；ROV)伺服器，並連線到全球ROA資料庫下載全球ROA資料。而後IP擁有者且有對外發放路由者(目前全台約180家企業組織)需設定其路由器，使之連線到TWNIC的ROV伺服器，此後便能定期下載最新的ROA資料來驗證其路由來源是否合法。但前提是這些組織的路由器必須支援RPKI功能，啟用RPKI後再設定連線到ROV，Validator伺服器。

顧靜恆指出，目前全台已有46家企業組織完成第二階段與ROV伺服器的連線，已具備比對路由來源合法性的能力。除了五大ISP及寬頻固網業者外，包括台灣銀行、台灣積體電路及教育部等政府與知名企業都已率先做好連線準備，不僅能確保其對外路由不被劫持，也能避免成為BGP劫持事件的幫兇。

第3階段 啟動路由自動過濾功能

到了第三階段，就是能依據路由來源驗證的結果自動進行過濾。路由經過比對驗證會產生三種結果：合法(valid)、不合法(invalid)以及不明(not found)。如果比對後是合法則予以連線，驗證後是不合法者則直接阻擋錯誤路由，不論是惡意劫持或人為設定錯誤，而有宣告的路由但尚未簽署ROA者則顯示為不明。根據NIST的統計，目前全球IPv4的路由比對後為不明者仍高達76.14%。(如圖2)

ISP、雲端服務業者加速部署RPKI

目前包括NTT、Cloudflare、香港國際網際網路交換中心(HKIX)等電信公司都已完成三階段的ROV驗證及開啟自動路由過濾功能，而中華電信也名列其中。在Cloudflare以及RIPE網站上都有提供RPKI檢測功能，可檢測全球各地ISP是否完成RPKI的部署設定。

顧靜恆表示，預料不久將來也會要求與其連線的ISP業者陸續完成ROV及路由過濾工作。而目前台灣IP擁有者且有對外發放路由者仍有110多家尚未完成第二階段的ROV連線設定，除了因路由器版本老舊不支援RPKI，需另升級更新路由器韌體或直接更換之外，有部分業者則是擔心設定之後影響連線效能。顧靜恆表示，目前已完成第二階段ROV連線設定的46家組織，其路由器效能經測試後均無產生延遲等反應，一般效能的路由器在設定後不會導致延遲問題。

綜上所述，網際網路的安全往往是環環相扣，以路由安全來說，唯有每一個節點都做好路由來源授權宣告，能讓別人查詢。接著IP擁有者需做好ROV連線以比對驗證路由來源是否合法，最後則是啟動路由過濾功能，三階段都完成後才能達到整體路由安全的目的。否則，最脆弱的一環經常就是駭客容易下手的地方，隨著越來越多機密隱私的封包資訊在網路上傳遞，遭BGP劫持不僅使網路服務中斷也將導致用戶隱私外洩。因此不論是ISP或提供雲端服務業者，都應加快腳步為整體網際網路安全努力。