https://www.informationsecurity.com.tw/seminar/2024_Finance/
https://www.informationsecurity.com.tw/seminar/2024_Finance/

新聞

美國推新計畫改善邊界閘道協定安全

2024 / 09 / 06
編輯部
美國推新計畫改善邊界閘道協定安全
為了強化網路路由安全的弱點,美國國家網路安全辦公室(ONCD)近期公布了提升網路路由安全的計畫,主要針對邊界閘道協定(Border Gateway Protocol, BGP)相關漏洞進行改善。

BGP是全球網路的基礎協定,負責管理全球超過7萬個獨立網路間的流量,它廣泛應用於網路服務供應商、雲端服務供應商、政府機關、大學和能源供應商等。然而,美國國家網路安全辦公室指出,BGP的設計缺乏現代網路所需的安全機制。這使網路流量可能被無意或惡意重新導向,不僅使重要基礎設施面臨風險,還可能為間諜活動、資料竊取和資安漏洞提供機會。

RPKI有望成為全球標準

美國國家網路安全辦公室建議採用 Resource Public Key Infrastructure ( RPKI)。這是由網際網路工程任務組(IETF)制定的標準框架,能有效防止路由劫持、洩漏和 IP 資源盜用,大幅提升網路安全。透過RPKI,網路服務供應商(ISP)和自行管理路由的企業可確保路由更新的合法性與安全性,避免資料傳輸中斷或遭惡意篡改。

該辦公室呼籲所有類型的網路營運商,包括 ISP、企業網路和擁有自有 IP 資源的組織儘快導入 RPKI 標準。對於關鍵基礎設施的營運商、各級政府機關,以及依賴網路執行「高價值」任務的組織而言,BGP安全尤為重要。

除發布報告外,美國國家網路安全辦公室還成立了公私部門合作的利害關係人工作小組,並共同主持網路路由安全工作小組。該小組將制定框架,協助網路營運商評估風險,並優先處理重要的 IP 位址資源和路由來源。

BGP的資安風險

資安機構表示,全球僅約一半的網路採用了RPKI。近年來,已發生多起重大BGP資安事件,例如:
  • 2021年4月:全球性BGP外洩事件。一個錯誤的BGP路由設定導致不該被廣播的路由傳遞到全球,影響了數千個網路,造成多國網路連線中斷。這突顯了BGP設定錯誤可能帶來的嚴重後果。
     
  • 2022年8月:加密貨幣服務Celer Bridge BGP遭受劫持。駭客透過偽造的BGP公告成功劫持了Celer Bridge的加密貨幣交易,將資金導向攻擊者的帳戶。攻擊者修改AltDB資料庫內容,欺騙網路服務提供商,偽裝成 AWS 進行劫持。這案例顯示了BGP劫持對金融服務的潛在威脅。
     
  • 2008年:YouTube遭全球封鎖事件。巴基斯坦電信公司(PTCL)試圖在國內封鎖YouTube,卻因BGP劫持導致全球範圍內的YouTube流量被重新導向。原本只想影響巴基斯坦境內的存取,卻因錯誤的路由公告傳播到全球,導致YouTube在全世界範圍內無法存取。這事件凸顯了BGP設定錯誤可能造成的全球性影響。
這些事件再再顯示無論是蓄意攻擊還是無心的BGP設定錯誤,都可能導致全球網路服務中斷和嚴重的資安問題。