RPKI 与 BGP 安全性比较

By /

互联网之所以能运行,是因为各个网络之间互相信任。BGP 存在一些弱点,可能会导致问题。RPKI 有助于让路由更安全,它为网络提供了一种验证公告真实性的方法。一些网络在使用它,但并非所有网络都采用。本文解释了 BGP 的工作原理、RPKI 的作用,以及运营者面临的问题。

Table of Contents hide
1 BGP 的基础及其弱点
2 RPKI 作为安全措施的兴起
3 BGP 弱点与 RPKI 防护的对比
4 业界观点与专家声音
5 推广应用的挑战
6 现实案例与经验教训
7 展望未来
8 信任与控制的持续平衡
9 常见问题
10 Related Posts:

BGP 的基础及其弱点

BGP(边界网关协议)连接着全球的网络。它告诉数据应走哪些路径。没有 BGP,信息将无法到达目的地。它是维持互联网运行的核心系统。

BGP 诞生于互联网规模较小时。当时人们假设各网络都会正确运作。如今,网络庞大且复杂,错误或攻击可能导致流量被导向错误的地方。小小的失误可能迅速扩散,影响大量用户。安全专家认为 BGP 需要更严格的检查。如果网络无法信任路由公告,就存在错误路由的风险。

RPKI 作为安全措施的兴起

  • RPKI 代表 资源公钥基础设施(Resource Public Key Infrastructure)。它让网络可以验证谁有权宣布某个 IP 地址。运营者可以确认路由的来源是否有效。如果无效,路由器可以忽略该路由或向运营者发出警告。

    RPKI 使用简单的加密技术,为 BGP 增加了一层安全保障。它可以防止许多意外或恶意的错误。网络现在可以在发送流量之前检查路由。RPKI 并非完美,它不能阻止所有攻击,但它提供了 BGP 单独无法实现的基本信任基础。

BGP 弱点与 RPKI 防护的对比

    • BGP 在没有验证的情况下信任路由公告。网络可能会宣布它并不控制的路由,这可能是误操作,也可能是攻击造成的。一次错误就可能影响大量用户,流量可能被导向错误的地方。

      RPKI 会检查路由的来源是否被允许。如果不允许,路由器可以拒绝该路由。这可以阻止许多劫持和错误。RPKI 只有在大量网络采用时才有效,如果只有少数网络使用,仍然会存在漏洞。专家认为 RPKI 是一个开始,它提供了 BGP 单独无法实现的基础安全保障。

业界观点与专家声音

许多专家表示,网络必须立即采取行动。APNIC 首席科学家 Geoff Huston 说,在没有检查的情况下使用 BGP,就像运营银行却不进行审计一样。当发生劫持时,公司可能会面临流量和声誉的损失。

有人担心 RPKI 会带来中心化的故障点。如果主要存储库出现故障,路由检查可能会中断。互联网工程师 Job Snijders 表示,网络必须谨慎运行 RPKI,检查系统并制定备份计划。这场争论表明,网络既需要安全性,也需要可靠性。

推广应用的挑战

RPKI 的推广应用不均衡。有些地区使用得很好,许多网络会发布路由源授权(Route Origin Authorisations)。而其他地区的进展较慢,较小的运营商在设置上感到困难,路由器、软件和内部流程都需要进行调整。

安全性只有在大量网络使用 RPKI 时才能发挥作用。如果使用的网络很少,攻击者仍然可以找到漏洞。专家表示,部分采用是不够的,网络必须协同合作,才能让路由更加安全。这种共同努力是推广应用面临的关键挑战。

现实案例与经验教训

BGP 安全性薄弱会带来实际问题。2008 年,巴基斯坦电信宣布了一些路由,导致 YouTube 流量被错误重定向,全球的流量都走错了方向。其他劫持事件则使金融数据通过国外网络传输。

这些案例显示了 RPKI 的价值。如果当时启用了 RPKI,一些错误本可以避免扩散。路由安全薄弱的代价很高,每天有数十亿用户依赖互联网,错误会影响工作、商业和交流。这些事件促使网络采用更强的保护措施。

展望未来

关于 RPKI 和 BGP 的讨论不仅关乎技术,还涉及信任与合作。路由由多个组织管理,没有单一机构可以强制执行规则。进展依赖于各方合作并遵循简单步骤。培训和指导有帮助,但推广速度并不快。

更强的安全性可能需要技术与文化的双重变革。网络必须将路由安全视为自身的责任。一些行业,如金融或能源,面临更大的风险。制定规则或提供指导可能加快采用速度。共同责任将有助于让 RPKI 更加普及。

信任与控制的持续平衡

这场讨论揭示了一个更深层次的问题:互联网中的信任。BGP 曾依赖网络的良好行为,而现代互联网规模更大、结构更复杂。RPKI 增加了检查机制,让网络能够验证路由,但它也带来一些新的风险,中心化的控制点可能会出现故障,运营者必须监控系统。

常见问题

什么是 BGP,它为什么重要?
BGP 告诉数据在各网络之间应走向何处。它连接全球的网络。没有 BGP,互联网将无法运行。

用简单的话说,什么是 RPKI?
RPKI 用于验证谁可以宣布 IP 地址,就像签名一样。它可以防止错误和劫持。

为什么 BGP 被认为不安全?
BGP 不会验证路由公告的真实性。错误或攻击可能扩散,流量可能被导向错误的地方。

RPKI 能解决所有路由问题吗?
不能。RPKI 只检查谁可以宣布地址,无法阻止所有类型的攻击。仍然需要其他安全措施。

为什么 RPKI 的推广缓慢?
一些运营商使用旧系统,一些担心风险,还有一些在看到问题之前保持观望。推广需要努力和各方合作。

Related Posts:

  • how-rpki
  • role-of-rpki
  • rpki-for-network
  • what-is-rpki
  • https://btw.media/all/news/private-5g-powers-major-events/
  • ip-address-ownership

Leave a Comment

您的邮箱地址不会被公开。 必填项已用 * 标注

Scroll to Top