Beyaz Saray, Sınır Geçidi Protokolü (BGP) ile ilişkili güvenlik açıkları da dahil olmak üzere internet yönlendirme güvenlik sorunlarını ele almak için bir plan taslağı hazırladı. İnternet Yönlendirme Güvenliğini Geliştirme Yol Haritası Beyaz Saray Ulusal Siber Direktör Ofisi (ONCD) daha geniş bir parçasıdır Ulusal Siber Güvenlik Stratejisi Uygulama Planı İnternetin temellerini sağlamlaştırmak.
BGP —İnternet üzerinde yönlendirme bilgilerinin alışverişinde kullanılan protokol— trafiği kritik altyapıyı bozmak, bilgileri ele geçirmek veya casusluk yapmak için yönlendirmek amacıyla ele geçirilebilir. BGP’nin rota duyurularının veya ağ yollarının gerçekliğini doğrulamanın bir yolu olmadığından, yeni bir ağ yolu yayınlamak ve böylece trafiği düşman ağlar üzerinden taşımak mümkündür. BGP’deki birkaç olası güvenlik açığı da son birkaç yılda ifşa edildi.
BGP hataları yaygındır; örneğin Microsoft’un 2023’te Microsoft Azure ve diğer Microsoft bulut hizmetlerini yaklaşık 90 dakika boyunca kullanılamaz hale getiren hatalı rota bilgilerini yanlışlıkla yayınlaması veya küçük bir internet servis sağlayıcısının yanlışlıkla BGP’nin ana sunucusu haline gelmesi gibi. Cloudflare’e ulaşmak için tercih edilen yol 2019’da geri dönelim. Yeniden yönlendirme potansiyel olarak düşmanca olabilir, örneğin China Telecom 2010’da dünya trafiğinin %15’ini 18 dakika boyunca kendi sunucuları üzerinden yönlendirdiğinde veya tehdit aktörleri 2018’de Amazon Web Services’tan DNS trafiğini ele geçirerek MyEtherWallet kullanıcılarından yaklaşık 150.000 dolar değerinde kripto para çaldığında.
BGP’yi Düzeltmek İçin RPKI Kullanımı
ONCD, BGP güvenliğini iyileştirmek için Kaynak Genel Anahtar Altyapısı’nın (RPKI) benimsenmesini teşvik etti. Önerilen yol haritası, tüm ağ operatörleri, ağ servis sağlayıcıları ve hükümet kuruluşları için temel eylemleri açıklar. Eylemler arasında bir siber güvenlik risk yönetim planı geliştirmek ve sürdürmek ve ağlarında RPKI bileşenleri kurmak yer alır.
BGP’ye bakan tek kişi Beyaz Saray değil. FCC de yakın zamanda bir plan önerdi geniş bant sağlayıcılarının planlar oluşturması ve uygulaması BGP sorunlarını hafifletmek için.
RPKI’nin iki ana bileşeni olan Rota Kökeni Yetkilendirmeleri ve Rota Kökeni Doğrulaması, trafiğin olmaması gereken bir zamanda yeniden yönlendirilmemesini sağlamaya yardımcı olur. Rota Kökeni Yetkilendirmesi, bir ağın belirli bir IP bloğunu duyurmasını yetkilendiren imzalı bir sertifikadır. Ağlar ayrıca Rota Kökeni Yetkilendirmelerini kontrol etmek ve geçersiz BGP duyurularını filtrelemek için Rota Kökeni Doğrulamasını kullanır. Rota Kökeni Yetkilendirmesinin etkili olması için, İnternet genelinde Rota Kökeni Doğrulamasının yaygın bir şekilde dağıtılması gerekir.
RPKI Benimsenmesini Hızlandırın
İyi haber şu ki, ONCD tarafından alıntılanan istatistiklere göre, dünya genelindeki BGP rota başlangıçlarının çoğunluğu Rota Başlangıç Doğrulaması-geçerli ve Rota Başlangıç Yetkilendirmesi kapsamındaki trafiğin yüzdesi %70’in üzerinde.
Ancak, ABD’deki bazı büyük ağlar henüz RPKI’yi uygulamadığından, yapılması gereken daha çok şey var. NIST’in RPKI Monitor’ünden alınan verilere göre, ABD ağları tarafından oluşturulan IP öneklerinin yalnızca %39’unun geçerli bir Rota Kökeni Yetkilendirmesi var. Bunlara birkaç ticari sağlayıcının ve ABD hükümetinin ağları dahildir. Amaç, yıl sonuna kadar federal hükümetin ilan edilen IP alanının %60’ının Rota Kökeni Yetkilendirmelerini oluşturmak için gerekli Kayıt Hizmet Anlaşmaları tarafından kapsanmasıdır.
ONCD, “Kuzey Amerika adres alanının baskın bir payını elinde bulunduran bu az sayıdaki büyük ağ operatörleri arasında ROA oluşturma ve benimseme oranının düşük olması düzeltilirse, bölgedeki BGP güvenliği ve dayanıklılığı önemli ölçüde artacaktır” dedi.
Hükümet yüklenicilerinin ve hizmet sağlayıcılarının RPKI kullanmasını zorunlu kılmak gibi politika değişiklikleri ilerlemeye yardımcı olabilir.”[Office of Management and Budget] ONCD yol haritasında, Federal Hükümet’in sözleşmeli hizmet sağlayıcılarının güncel ticari olarak uygulanabilir İnternet yönlendirme güvenlik teknolojilerini benimsemelerini ve dağıtmalarını gerektirmelidir” diye yazdı. Ayrıca, hibe programları “hibe alanların projelerine yönlendirme güvenlik önlemlerini dahil etmelerini gerektirmelidir.”
Bir blog yazısında, Cloudflare ağ operatörlerini uyardı Rota Kökeni Yetkilendirme kayıtlarını imzalamak ve ağlarında Rota Kökeni Doğrulaması gerçekleştirmek için. Ağ dışı operatörler, İnternet servis sağlayıcılarının BGP’yi güvence altına alıp almadığını kontrol edebilir isbgpsafeyet.com.
Cloudflare’den Mike Conlow, Emily Music ve Tom Strickx, “Uygulama açısından, hükümetin yol haritasında belirtilen tüm kaldıraçlar üzerinden güvenliği yönlendirmeye odaklanmasının, ROA benimsenmesini hızlandıracağını ve ROV ile diğer en iyi uygulamaların daha geniş çapta uygulanmasını teşvik edeceğini umuyoruz” diye yazdı.