NIST และ DHS ร่วมกันออกมาตรฐาน Secure Inter-Domain Routing (SIDR) เสริม BGP Routing ให้ปลอดภัย

NIST และ DHS สองหน่วยงานจากสหรัฐอเมริกา ได้ร่วมมือกันสร้างชุดมาตรฐานใหม่ Secure Inter-Domain Routing (SIDR) เพื่อเสริมความมั่นคงปลอดภัยในการแลกเปลี่ยนข้อมูล Routing ระหว่างเหล่าธุรกิจที่เกี่ยวข้องกับระบบ Internet ไม่ว่าจะเป็น Internet Service Provider (ISP), Hosting Provider, Cloud Provider, มหาวิทยาลัย, หน่วยงานวิจัย และโครงข่ายระดับชาติ และยังเป็นมาตรฐานแรกที่มุ่งเน้นไปที่การเสริมความปลอดภัยให้กับการใช้ Border Gateway Protocol (BGP) ด้วย

Credit: NIST

 

BGP นั้นเป็น Protocol ที่ถูกออกแบบมาตั้งแต่ช่วงยุค 1980 ทำให้ยังขาดประเด็นด้านความมั่นคงปลอดภัยไปค่อนข้างมาก การโจมตีที่มักเกิดขึ้นในทุกวันนี้ที่เราพบเห็นได้ก็คือการทำ BGP Hijacking โดยการที่องค์กรใดๆ ก็ตามที่เกี่ยวข้องใน Internet ทำการประกาศ IP Block ว่าอยู่ในเครือข่ายของตนทั้งๆ ที่ความจริงไม่ได้เป็นเช่นนั้น ทำให้ผู้ที่โจมตีด้วยวิธีการนี้สามารถรับเอา Network Traffic ปริมาณมหาศาลที่มีปลายทางไปยังเว็บไซต์หรือบริการอื่นๆ ได้ ซึ่งปัญหานี้ได้กลายเป็นหนึ่งในช่องโหว่ที่ใหญ่ที่สุดบนระบบ Internet ในทุกวันนี้

ด้วยเหตุนี้เอง ทาง NIST และ DHS จึงได้ร่วมมือกันเพื่อเสริมความมั่นคงปลอดภัยให้กับการทำ BGP ด้วยการเพิ่มการนำเทคนิคทางด้าน Cryptographic เข้ามาใช้เพื่อให้มั่นใจว่าข้อมูลการทำ Routing นั้นจะถูกรับส่งระหว่างผู้ที่มีสิทธิ์ภายในโครงข่าย Internet เท่านั้น และระหว่างที่ SIDR ถูกร่างอยู่นี้ คณะทำงานที่เกี่ยวข้องก็ได้ออกมาตรฐานใหม่ๆ บน IETF ที่เกี่ยวข้องไปด้วย ซึ่งประเด็นนี้ประกอบไปด้วย 3 ส่วนหลักๆ ดังนี้

  • Resource Public Key Infrastructure (RPKI) เพิ่มช่องทางการสื่อสารกันระหว่างองค์กรที่เกี่ยวข้องกับ Interent ให้สื่อสารกันเรื่อง Address Block ได้อย่างมั่นคงปลอดภัย
  • BGP Origin Validation เปิดให้ Router สามารถใช้ข้อมูลจาก RPKI เพื่อคัดกรองการประกาศ BGP Route จากผู้ที่ไม่มีสิทธิ์ได้
  • BGP Path Validation (BGPsec) เป็นส่วนที่ IETF เพิ่งประกาศเป็นร่างมาตรฐานไปตั้งแต่ RFC 8205 – 8210 ซึ่งใช้ Digital Signature จาก Router แต่ละตัวเพื่อให้มั่นใจว่าข้อมูลจะถูกส่งผ่านไปยังเฉพาะเครือข่ายที่มีสิทธิ์เท่านั้น

ปัจจุบันโซลูชันส่วนใหญ่ที่ NIST และ DHS ต้องการจะใช้ในมาตรฐานนี้ได้ถูกส่งไปเข้ากระบวนการของ IETF เรียบร้อยแล้ว และส่วนใหญ่ก็กำลังอยู่ในขั้นการยื่นเรื่องเพื่อกลายเป็น RFC โดยผู้ที่สนใจรายละเอียดฉบับเต็มสามารถศึกษาได้จากเว็บไซต์ของโครงการ SIDR ที่ https://nccoe.nist.gov/projects/building-blocks/secure-inter-domain-routing และ https://datatracker.ietf.org/wg/sidr/documents/ เลยครับ

 

ที่มา: https://www.bleepingcomputer.com/news/technology/new-nist-and-dhs-standards-get-ready-to-tackle-bgp-hijacks/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

NSS Labs ออกผลทดสอบ Breach Detection Systems ปี 2017

    NSS Labs บริษัทวิจัยและที่ปรึกษาด้านความมั่นคงปลอดภัย ออกรายงานผลทดสอบ Breach Detection Systems ประจำปี 2017 พร้อม Security Value Map …

พบช่องโหว่ PDF Reader บน Google Chrome อีกครั้ง เสี่ยงถูกโจมตีด้วย Code Execution

นักวิจัยจาก Talos ทีม Threat Intelligence ของ Cisco ค้นพบช่องโหว่ off-by-one read/write บน PDFium ซึ่งเป็น PDF Reader …

ปิดโหมดสีเทา