NIST และ DHS ร่วมกันออกมาตรฐาน Secure Inter-Domain Routing (SIDR) เสริม BGP Routing ให้ปลอดภัย

NIST และ DHS สองหน่วยงานจากสหรัฐอเมริกา ได้ร่วมมือกันสร้างชุดมาตรฐานใหม่ Secure Inter-Domain Routing (SIDR) เพื่อเสริมความมั่นคงปลอดภัยในการแลกเปลี่ยนข้อมูล Routing ระหว่างเหล่าธุรกิจที่เกี่ยวข้องกับระบบ Internet ไม่ว่าจะเป็น Internet Service Provider (ISP), Hosting Provider, Cloud Provider, มหาวิทยาลัย, หน่วยงานวิจัย และโครงข่ายระดับชาติ และยังเป็นมาตรฐานแรกที่มุ่งเน้นไปที่การเสริมความปลอดภัยให้กับการใช้ Border Gateway Protocol (BGP) ด้วย

Credit: NIST

 

BGP นั้นเป็น Protocol ที่ถูกออกแบบมาตั้งแต่ช่วงยุค 1980 ทำให้ยังขาดประเด็นด้านความมั่นคงปลอดภัยไปค่อนข้างมาก การโจมตีที่มักเกิดขึ้นในทุกวันนี้ที่เราพบเห็นได้ก็คือการทำ BGP Hijacking โดยการที่องค์กรใดๆ ก็ตามที่เกี่ยวข้องใน Internet ทำการประกาศ IP Block ว่าอยู่ในเครือข่ายของตนทั้งๆ ที่ความจริงไม่ได้เป็นเช่นนั้น ทำให้ผู้ที่โจมตีด้วยวิธีการนี้สามารถรับเอา Network Traffic ปริมาณมหาศาลที่มีปลายทางไปยังเว็บไซต์หรือบริการอื่นๆ ได้ ซึ่งปัญหานี้ได้กลายเป็นหนึ่งในช่องโหว่ที่ใหญ่ที่สุดบนระบบ Internet ในทุกวันนี้

ด้วยเหตุนี้เอง ทาง NIST และ DHS จึงได้ร่วมมือกันเพื่อเสริมความมั่นคงปลอดภัยให้กับการทำ BGP ด้วยการเพิ่มการนำเทคนิคทางด้าน Cryptographic เข้ามาใช้เพื่อให้มั่นใจว่าข้อมูลการทำ Routing นั้นจะถูกรับส่งระหว่างผู้ที่มีสิทธิ์ภายในโครงข่าย Internet เท่านั้น และระหว่างที่ SIDR ถูกร่างอยู่นี้ คณะทำงานที่เกี่ยวข้องก็ได้ออกมาตรฐานใหม่ๆ บน IETF ที่เกี่ยวข้องไปด้วย ซึ่งประเด็นนี้ประกอบไปด้วย 3 ส่วนหลักๆ ดังนี้

  • Resource Public Key Infrastructure (RPKI) เพิ่มช่องทางการสื่อสารกันระหว่างองค์กรที่เกี่ยวข้องกับ Interent ให้สื่อสารกันเรื่อง Address Block ได้อย่างมั่นคงปลอดภัย
  • BGP Origin Validation เปิดให้ Router สามารถใช้ข้อมูลจาก RPKI เพื่อคัดกรองการประกาศ BGP Route จากผู้ที่ไม่มีสิทธิ์ได้
  • BGP Path Validation (BGPsec) เป็นส่วนที่ IETF เพิ่งประกาศเป็นร่างมาตรฐานไปตั้งแต่ RFC 8205 – 8210 ซึ่งใช้ Digital Signature จาก Router แต่ละตัวเพื่อให้มั่นใจว่าข้อมูลจะถูกส่งผ่านไปยังเฉพาะเครือข่ายที่มีสิทธิ์เท่านั้น

ปัจจุบันโซลูชันส่วนใหญ่ที่ NIST และ DHS ต้องการจะใช้ในมาตรฐานนี้ได้ถูกส่งไปเข้ากระบวนการของ IETF เรียบร้อยแล้ว และส่วนใหญ่ก็กำลังอยู่ในขั้นการยื่นเรื่องเพื่อกลายเป็น RFC โดยผู้ที่สนใจรายละเอียดฉบับเต็มสามารถศึกษาได้จากเว็บไซต์ของโครงการ SIDR ที่ https://nccoe.nist.gov/projects/building-blocks/secure-inter-domain-routing และ https://datatracker.ietf.org/wg/sidr/documents/ เลยครับ

 

ที่มา: https://www.bleepingcomputer.com/news/technology/new-nist-and-dhs-standards-get-ready-to-tackle-bgp-hijacks/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Avast เปิด Open Source ให้ RetDec Decompiler สำหรับใช้วิเคราะห์ Ransomware โดยเฉพาะ

Avast ได้ออกมาประกาศเปิด Open Source ให้กับ RetDec ระบบ Complier สำหรับใช้ในการ Decompile จาก Machine Code ให้กลายมาเป็น Source …

สารภาพแล้ว 3 แฮ็กเกอร์ผู้สร้าง Mirai DDoS Botnet

หลังจากที่ Mirai DDoS Botnet ปรากฏโฉมเมื่อช่วงปลายที่ 2016 และถูกผู้ไม่ประสงค์ดีนำไปใช้เพื่อสร้างความวุ่นวายแก่ ISP, เว็บไซต์ และองค์กรชื่อดังไปทั่วทั้งโลกแล้ว ล่าสุด ทางการสหรัฐฯ ออกแถลงการณ์ 3 แฮ็กเกอร์ผู้อยู่เบื้องหลังการพัฒนา …