Опубликован официальный проект стандарта для защиты от BGP-перехвата
Стандарт BGP ROV призван помочь интернет- и облачным провайдерам обеспечить защиту от перехвата BGP.
Специалисты Национального института стандартов и технологий США (The National Institute of Standards and Technology, NIST) и Научно-технического управления Министерства внутренней безопасности США (Department of Homeland Security Science and Technology Directorate) обнародовали первую версию проекта стандарта BGP Route Origin Validation (ROV), призванного обеспечить защиту BGP (Border Gateway Protocol, протокол граничного шлюза). В настоящее время BGP является основным протоколом динамической маршрутизации в сети Интернет. Протокол BGP был разработан в 1980-х годах прошлого века и в последний раз персматривался в 1995 году — задолго до того, как атаки с использованием BGP стали серьезной проблемой. За последние несколько лет число подобных атак существенно возросло. К примеру, в июле текущего года государственная телекоммуникационная компания Ирана перехватила трафик популярного мессенджера Telegram, а в декабре 2017 года некий российский провайдер перехватил трафик крупных сайтов, принадлежащих Google, Facebook, Apple и Microsoft.
В октябре 2017 года NIST и DHS начали работу над совместным проектом под названием «Безопасная междоменная маршрутизация» (Secure Inter-Domain Routing, SIDR), основная цель которого — обеспечить защиту BGP от атак подобного рода. Как уточнялось, стандарт использует криптографические методы для обеспечения передачи данных по санкционированному маршруту в сетях.
Первый — Resource Public Key Infrastructure (RPKI) — позволяет облачному сервису или провайдеру устанавливать ограничения в приеме данных от других автономных сетей. Второй — BGP Origin Validation — предоставляет маршрутизаторам возможность исключить неавторизованные BGP-оповещения при передаче данных. Третий — BGP Path Validation — устанавливает цифровые подписи для каждого маршрутизатора в сети.
«Примерная реализация, описанная в данном руководстве, направлена на защиту целостности и улучшения устойчивости обмена интернет-трафиком путем верификации источника маршрута», — отмечается в пресс-релизе, посвященном выпуску первой версии проекта нового стандарта.
Проект уже вынесен на обсуждение широкой обществености и частного сектора. Комментарии по проекту будут приниматься до 15 октября 2018 года. Далее документ будет отправлен на рассмотрение Инженерного совета Интернета (Internet Engineering Task Force, IETF).