路由器“黑洞”威胁互联网络安全


一位安全顾问警告,广泛在互联网间用于有效交换路由数据的“相邻路由协议”(BGP)布满了安全漏洞,急待替换 。
Stephen Dugan是于上周四(2月27日)在西雅图召开的Black Hat安全问题报告会上说这番话的 。Stephen Dugan说,然而,科技上的“先有鸡还是先有蛋”的问题从中作梗,阻碍了安全替代BGP的进展 。假如绝大多数路由器使用一个安全协议的话就会有改观,但是实施Secure BGP的高昂代价意味着没有几家公司愿意这么干 。
Dugan说:“起草(互联网工程)草案的人们的已经面临资金紧张的局面了,因为没人听他们的 。我们需要在有人攻击这个系统之前,开发出这种技术 。但在出现攻击情况之前,恐怕没有公司愿意花这份钱 。”
承担大约130,000个网络交换路由数据任务的12,000台路由器目前使用着BGP 。
Dugan 说,然而,一台被错误设定的路由器,或一台受到在线入侵者攻击的路由器,会因其自称能向无关网络提供最佳路径连接的提示而造成混乱 。那是因为使用GBP的路由器对网上邻居固有的信任--他们不会请求提供任何数字身份认证 。这类数字伪造的漏洞将能答应入侵者改变路由交换方向、窃取数据、制造信息“黑洞”,甚至会装扮成一个服务器 。
他说:“互联网服务提供商里面的任何人都能做到这点,我们不得不停止对路由器的信任 。”
安全问题并非常空穴来风 。1997年四月,弗吉尼亚州一个小型的互联网服务提供商就错误地设定了其路由器,导致其声称他们是通向整个互联网世界的最佳路由 。相继带来的数据雪崩致使路由器中断,在一些地方造成了持续两个多小时的中断,不能登录其它网站 。
甚至连美国政府也注重到了互联网路由器的安全隐患 。连同域名系统(DNS)在内,布什政府最近指出,BGP是一种急需提高安全性能的、布满着危险的技术 。
尽管危险重重,进展却是十分缓慢 。
互联网工程任务组(IETF)已经为Secure BGP制订了规范 。然而,网络硬件制造商们对此反应冷淡,因为新技术的应用将要包括价格昂贵的数字签名基础设施,而且硬件也要升级 。
Dugan 也承认,费用高企会带来使用互联网费用的上升 。他说:“获得到达一个地址的费用会升高,这方面的工作不得不做,别无选择 。”

    推荐阅读