TWCC
event
 

TWNIC推動RPKI建置三部曲 杜絕BGP路由劫持威脅

圖1:BGP路由來源劫持示意圖(資料來源:TWNIC提供)

現今企業已越來越仰賴網際網路來提供服務,尤其因疫情而採取的封城、居家隔離政策更使得線上流量暴增。這時有更多的誘因促使網路犯罪團體伺機而動,駭客不針對個別企業網站下手,而是看準網際網路通訊協定的漏洞,從利用BGP協定的信任機制對ISP宣告錯誤的路由,因而將流量導至駭客的伺服器,也就造成所謂BGP劫持(BGP Hijacking)。

對此,網際網路工程任務組(IETF)透過制定資源公鑰基礎建設(Resource Public Key Infrastructure;RPKI)標準來強化路由安全。而台灣經過2年推廣,目前超過98%的IPv4位址均已簽署RPKI ROA,在全球IPv4位址數量前百大國家中排名第一。

 點擊圖片放大觀看

圖2:全球IPv4路由比對驗證結果 (資料來源:NIST)

人為疏失、惡意攔截 BGP劫持造成封包資訊外洩

網路世界的路由是由Autonomous system(自治系統;AS)號碼串接組成。在正常的網路世界,若AS4要傳輸封包到AS1有許多條路徑可選擇,經由AS2再到AS1是最快速的路徑。然而若AS6未經授權卻宣告擁有與AS1相同的網段並通知其他節點路由器更新路由資訊,那麼AS4要傳送到AS1的封包就會被導至AS6,這就是BGP路由劫持(如圖1)。駭客攔截了這些流量可用來發送垃圾郵件、竊取加密貨幣,若AS6進一步偽造相似AS1 IP位址的網站就成為釣魚網站,可竊取更多受害者機密個資。

BGP路由劫持除了上述駭客去更改路由來源的惡意劫持外,也包括偽造AS路徑,讓原本由AS4→AS2→AS1,繞道成為AS4→AS2→AS3→AS1,在AS3就可竊取封包資訊發動中間人攻擊。另外人為疏失也可能導致BGP路由劫持,例如在路由設定時有錯別字或前置錯誤等。

根據維基百科,早在1997年就曾發生BGP劫持事件,而2008年巴基斯坦電信劫持YouTube流量更是造成當時YouTube全球服務因此中斷,由於巴基斯坦電信逕行宣告擁有YouTube所屬網段,而巴基斯坦的上游Tier 1 ISP電訊盈科(PCCW)基於信任BGP協定把此不正確路由資訊轉發至其他ISP,導致應傳至YouTube的流量轉向巴基斯坦電信。

近年BGP劫持更是有增多的趨勢。2018年11月就發生奈及利亞一家名為MainOne的ISP劫持Google流量約74分鐘,他們將路由路徑繞道俄羅斯TransTelecom、中國電信、MainOne然後才流至Google,MainOne事後調查稱此為人為設定錯誤所導致。而2020年4月又發生全球約200家CDN服務商遭BGP劫持事件,包括Facebook、Google、Amazon、Cloudflare、GoDaddy、Line等流量都被導向俄羅斯,歷時約1小時。TWNIC台灣網路資訊中心顧靜恆組長表示,發動BGP劫持對駭客來說非常容易,不需高深技術都可向ISP宣告擁有AS,因此近年BGP劫持事件日益增多。透過RPKI標準與路由來源認驗證機制,來偵測無論是惡意劫持或人為錯誤的BGP劫持也就勢在必行。

三階段RPKI建置計畫 逐步推動路由整體安全

在IETF制定透過路由來源驗證機制來確保路由的正確性後,TWNIC自2018年即開始制定RPKI推動計畫,透過三階段工作來達到強化路由安全的目標。經過2年的推廣目前已有初步成果,目前超過98%的IPv4位址已簽署RPKI ROA,第一階段成果斐然,緊接著46家擁有IP位址且有對外宣告路由的業者已進入第二階段,率先向其用戶證明能提供安全的連線服務。

第1階段 簽署路由來源授權

在2018年9月TWNIC RPKI CA與APNIC CA簽署授權後,TWNIC開始推動RPKI計畫。第一階段是簽署路由來源授權(Route Origin Authorizations;ROA),這是指所有曾到TWNIC註冊的IP位址擁有者必須到TWNIC RPKI管理系統登記,設定某一段IP是由哪一個AS(自治系統)所宣告,以證明此路由來源是合法的。而這些設定好的ROA資料都會同步上傳到全球ROA資料庫,將來路由器收到路由便會與ROA資料庫比對,若是不合法的路由便能阻擋。

目前台灣約有3,500萬個IPv4位址,IP位址擁有者完成簽署ROA的已有150家,一共簽署2,485筆ROA,ROA簽署比例達到98%,在全球IPv4位址數量前百大國家中名列第一。然而,目前全球簽署ROA的比例僅23%,仍有待各組織大力推廣才能確保網路世界整體路由安全。

第2階段 連接路由來源驗證伺服器

而第二階段便是TWNIC建置路由來源驗證(Route Origin Validation;ROV)伺服器,並連線到全球ROA資料庫下載全球ROA資料。而後IP擁有者且有對外發放路由者(目前全台約180家企業組織)需設定其路由器,使之連線到TWNIC的ROV伺服器,此後便能定期下載最新的ROA資料來驗證其路由來源是否合法。但前提是這些組織的路由器必須支援RPKI功能,啟用RPKI後再設定連線到ROV,Validator伺服器。

顧靜恆指出,目前全台已有46家企業組織完成第二階段與ROV伺服器的連線,已具備比對路由來源合法性的能力。除了五大ISP及寬頻固網業者外,包括台灣銀行、台灣積體電路及教育部等政府與知名企業都已率先做好連線準備,不僅能確保其對外路由不被劫持,也能避免成為BGP劫持事件的幫兇。

第3階段 啟動路由自動過濾功能

到了第三階段,就是能依據路由來源驗證的結果自動進行過濾。路由經過比對驗證會產生三種結果:合法(valid)、不合法(invalid)以及不明(not found)。如果比對後是合法則予以連線,驗證後是不合法者則直接阻擋錯誤路由,不論是惡意劫持或人為設定錯誤,而有宣告的路由但尚未簽署ROA者則顯示為不明。根據NIST的統計,目前全球IPv4的路由比對後為不明者仍高達76.14%。(如圖2)

ISP、雲端服務業者加速部署RPKI

目前包括NTT、Cloudflare、香港國際網際網路交換中心(HKIX)等電信公司都已完成三階段的ROV驗證及開啟自動路由過濾功能,而中華電信也名列其中。在Cloudflare以及RIPE網站上都有提供RPKI檢測功能,可檢測全球各地ISP是否完成RPKI的部署設定。

顧靜恆表示,預料不久將來也會要求與其連線的ISP業者陸續完成ROV及路由過濾工作。而目前台灣IP擁有者且有對外發放路由者仍有110多家尚未完成第二階段的ROV連線設定,除了因路由器版本老舊不支援RPKI,需另升級更新路由器韌體或直接更換之外,有部分業者則是擔心設定之後影響連線效能。顧靜恆表示,目前已完成第二階段ROV連線設定的46家組織,其路由器效能經測試後均無產生延遲等反應,一般效能的路由器在設定後不會導致延遲問題。

綜上所述,網際網路的安全往往是環環相扣,以路由安全來說,唯有每一個節點都做好路由來源授權宣告,能讓別人查詢。接著IP擁有者需做好ROV連線以比對驗證路由來源是否合法,最後則是啟動路由過濾功能,三階段都完成後才能達到整體路由安全的目的。否則,最脆弱的一環經常就是駭客容易下手的地方,隨著越來越多機密隱私的封包資訊在網路上傳遞,遭BGP劫持不僅使網路服務中斷也將導致用戶隱私外洩。因此不論是ISP或提供雲端服務業者,都應加快腳步為整體網際網路安全努力。

  •     按讚加入DIGITIMES智慧應用粉絲團
更多關鍵字報導: 台灣網路資訊中心