Битва за BGP: Белый дом внедряет RPKI и ROA в сетях США

RPKI ROA ROV Белый дом BGP BGPsec
Битва за BGP: Белый дом внедряет RPKI и ROA в сетях США
RPKI ROA ROV Белый дом BGP BGPsec

Белый дом делает ставку на RPKI, ROA и ROV в защите трафика.

image

В новом отчете Белого дома подробно описываются шаги, которые необходимо предпринять для повышения безопасности маршрутизации интернета с использованием протокола BGP (Border Gateway Protocol), который играет ключевую роль в управлении интернет-трафиком между сетями по всему миру.

Вопросы безопасности маршрутизации начали привлекать внимание правительства США еще в 2022 году, когда стало известно о случаях перехвата интернет-трафика иностранными хакерами через уязвимости в протоколе BGP. Такие атаки, известные как BGP hijacking, стали одной из причин для разработки данной дорожной карты.

В работе над отчетом принимали участие несколько ключевых государственных агентств, включая Министерство юстиции (DOJ), Министерство обороны (DOD), Федеральную комиссию по связи (FCC), Агентство по кибербезопасности и защите инфраструктуры (CISA), а также Управление национального директора по кибербезопасности (ONCD) Белого дома.

Хотя рекомендации ONCD нельзя назвать революционными, они соответствуют текущим лучшим практикам отрасли. В частности, операторам интернет-сетей рекомендовано использовать такие технологии, как RPKI, ROA и ROV. Эти криптографические инструменты помогают удостовериться, что организация, управляющая IP-адресами, действительно владеет ими и может объявлять маршруты через эти адреса.

Особое внимание в отчете уделено внедрению RPKI и связанных с ним технологий, таких как ROA, которая позволяет подтверждать, что только определенная сеть имеет право объявлять маршруты для конкретного блока IP-адресов. Технология ROV, в свою очередь, проверяет, что маршруты, объявленные другими сетями, являются корректными и безопасными.

Помимо этого, Белый дом также упомянул технологию BGPsec, которая представляет собой расширение протокола BGP, предлагающее дополнительные функции безопасности. Однако внедрение такой технологии не является приоритетом на текущем этапе. Вместо этого, правительство США выбрало постепенный подход, в рамках которого операторам сетей предлагается начать с внедрения ROA как первого шага к улучшению безопасности маршрутизации.

Важной частью стратегии является сотрудничество с частным сектором. Белый дом планирует совместно с CISA создать рабочую группу, которая будет разрабатывать рекомендации и материалы, направленные на упрощение процесса внедрения технологий RPKI, ROA и ROV.

Согласно данным Национального института стандартов и технологий (NIST), сегодня почти половина маршрутов в сети BGP уже проверяется с использованием ROV, а по данным исследования компании Kentik, более 70% маршрутов IPv4 уже защищены с помощью ROA. Однако, как отмечает Cloudflare, основная проблема заключается в том, что большая часть этого защищенного трафика исходит от зарубежных операторов сетей, тогда как компании в США пока отстают в внедрении этих технологий.