NIST และ DHS ร่วมกันออกมาตรฐาน Secure Inter-Domain Routing (SIDR) เสริม BGP Routing ให้ปลอดภัย

NIST และ DHS สองหน่วยงานจากสหรัฐอเมริกา ได้ร่วมมือกันสร้างชุดมาตรฐานใหม่ Secure Inter-Domain Routing (SIDR) เพื่อเสริมความมั่นคงปลอดภัยในการแลกเปลี่ยนข้อมูล Routing ระหว่างเหล่าธุรกิจที่เกี่ยวข้องกับระบบ Internet ไม่ว่าจะเป็น Internet Service Provider (ISP), Hosting Provider, Cloud Provider, มหาวิทยาลัย, หน่วยงานวิจัย และโครงข่ายระดับชาติ และยังเป็นมาตรฐานแรกที่มุ่งเน้นไปที่การเสริมความปลอดภัยให้กับการใช้ Border Gateway Protocol (BGP) ด้วย

BGP นั้นเป็น Protocol ที่ถูกออกแบบมาตั้งแต่ช่วงยุค 1980 ทำให้ยังขาดประเด็นด้านความมั่นคงปลอดภัยไปค่อนข้างมาก การโจมตีที่มักเกิดขึ้นในทุกวันนี้ที่เราพบเห็นได้ก็คือการทำ BGP Hijacking โดยการที่องค์กรใดๆ ก็ตามที่เกี่ยวข้องใน Internet ทำการประกาศ IP Block ว่าอยู่ในเครือข่ายของตนทั้งๆ ที่ความจริงไม่ได้เป็นเช่นนั้น ทำให้ผู้ที่โจมตีด้วยวิธีการนี้สามารถรับเอา Network Traffic ปริมาณมหาศาลที่มีปลายทางไปยังเว็บไซต์หรือบริการอื่นๆ ได้ ซึ่งปัญหานี้ได้กลายเป็นหนึ่งในช่องโหว่ที่ใหญ่ที่สุดบนระบบ Internet ในทุกวันนี้

ด้วยเหตุนี้เอง ทาง NIST และ DHS จึงได้ร่วมมือกันเพื่อเสริมความมั่นคงปลอดภัยให้กับการทำ BGP ด้วยการเพิ่มการนำเทคนิคทางด้าน Cryptographic เข้ามาใช้เพื่อให้มั่นใจว่าข้อมูลการทำ Routing นั้นจะถูกรับส่งระหว่างผู้ที่มีสิทธิ์ภายในโครงข่าย Internet เท่านั้น และระหว่างที่ SIDR ถูกร่างอยู่นี้ คณะทำงานที่เกี่ยวข้องก็ได้ออกมาตรฐานใหม่ๆ บน IETF ที่เกี่ยวข้องไปด้วย ซึ่งประเด็นนี้ประกอบไปด้วย 3 ส่วนหลักๆ ดังนี้

• Resource Public Key Infrastructure (RPKI) เพิ่มช่องทางการสื่อสารกันระหว่างองค์กรที่เกี่ยวข้องกับ Interent ให้สื่อสารกันเรื่อง Address Block ได้อย่างมั่นคงปลอดภัย
• BGP Origin Validation เปิดให้ Router สามารถใช้ข้อมูลจาก RPKI เพื่อคัดกรองการประกาศ BGP Route จากผู้ที่ไม่มีสิทธิ์ได้
• BGP Path Validation (BGPsec) เป็นส่วนที่ IETF เพิ่งประกาศเป็นร่างมาตรฐานไปตั้งแต่ RFC 8205 – 8210 ซึ่งใช้ Digital Signature จาก Router แต่ละตัวเพื่อให้มั่นใจว่าข้อมูลจะถูกส่งผ่านไปยังเฉพาะเครือข่ายที่มีสิทธิ์เท่านั้น

ปัจจุบันโซลูชันส่วนใหญ่ที่ NIST และ DHS ต้องการจะใช้ในมาตรฐานนี้ได้ถูกส่งไปเข้ากระบวนการของ IETF เรียบร้อยแล้ว และส่วนใหญ่ก็กำลังอยู่ในขั้นการยื่นเรื่องเพื่อกลายเป็น RFC โดยผู้ที่สนใจรายละเอียดฉบับเต็มสามารถศึกษาได้จากเว็บไซต์ของโครงการ SIDR ที่ https://nccoe.nist.gov/projects/building-blocks/secure-inter-domain-routing และ https://datatracker.ietf.org/wg/sidr/documents/ เลยครับ

ที่มา: https://www.bleepingcomputer.com/news/technology/new-nist-and-dhs-standards-get-ready-to-tackle-bgp-hijacks/