هنوز هم BGP hijacking اینترنت را به هم می‌ریزد — و RPKI راه حلی است که بیشتر ISPها از آن استفاده نکرده‌اند | IRCNF - Intelligent Reliable Custom Next-gen Frameworks

در آوریل ۲۰۱۰، برای حدود ۱۸ دقیقه، حدود ۱۵٪ از ترافیک جهانی اینترنت از طریق شبکه China Telecom مسیریابی شد. این ترافیک شامل اطلاعات نظامی، دولتی و شرکت‌های بزرگ آمریکا بود. China Telecom هیچ هکی انجام نداد. فقط اعلام کرد که مسیرهای بهتری به آن مقاصد دارد و بقیه اینترنت آن را باور کردند — چون Border Gateway Protocol، سیستمی که تمام ترافیک اینترنت را مسیریابی می‌کند، هیچ راهی برای تأیید صحت یک اعلام مسیر ندارد.

این ماجرا ۱۶ سال پیش اتفاق افتاد. مشکل اصلی هنوز حل نشده است.

پروتکلی که بر پایه اعتماد کار می‌کند

BGP از سال ۱۹۸۹ وجود دارد. زمانی طراحی شد که اینترنت یک شبکه کوچک از دانشگاه‌ها و سازمان‌های دولتی بود که همدیگر را می‌شناختند. این پروتکل بر این فرض کار می‌کند که اگر یک شبکه (به نام Autonomous System یا AS) اعلام کند که می‌تواند به یک بلوک خاص از آدرس‌های IP دسترسی داشته باشد، این اعلام درست است. هیچ تأیید رمزنگاری‌ای، هیچ احراز هویتی، هیچ راهی برای اثبات حق اعلام مسیر وجود ندارد. شما فقط اعلام می‌کنید و اینترنت ترافیک را به سمت شما می‌فرستد.

این موضوع مهم است چون BGP روشی است که هر بسته در اینترنت مقصد خود را پیدا می‌کند. وقتی یک صفحه وب باز می‌کنید، روتر ISP شما جدول BGP را بررسی می‌کند تا مسیر سرور را پیدا کند. اگر کسی یک مسیر جعلی تزریق کند، ترافیک شما جای دیگری می‌رود — به شبکه‌ای که می‌تواند آن را بخواند، تغییر دهد یا صرفاً رها کند.

BGP hijackها به طور مرتب اتفاق می‌افتند. Pakistan Telecom در سال ۲۰۰۸ با اعلام اشتباه یک مسیر بهتر، YouTube را برای دو ساعت از دسترس خارج کرد. Rostelecom در روسیه در سال ۲۰۲۰ ترافیک Amazon، Google، Akamai و ۲۰۰ ارائه‌دهنده دیگر را رهگیری کرد. یک ISP بلاروسی در سال ۲۰۲۱ فضای IP Cloudflare را ربود. بیشتر این حوادث ناشی از اشتباهات پیکربندی است، اما بازیگران دولتی توانایی انجام عمدی آن را نشان داده‌اند.

RPKI قرار است چه چیزی را حل کند

Resource Public Key Infrastructure — RPKI — یک چارچوب رمزنگاری است که به دارندگان آدرس IP اجازه می‌دهد رکوردهایی به نام Route Origin Authorizations (ROA) را امضا کنند. یک ROA به زبان رمزنگاری می‌گوید: «AS 64500 مجاز است پیشوند 198.51.100.0/24 را اعلام کند.» اگر شخص دیگری همان پیشوند را اعلام کند، شبکه‌هایی که اعتبارسنجی RPKI را فعال کرده‌اند می‌بینند که این اعلام با هیچ ROA معتبری مطابقت ندارد و آن را رد می‌کنند.

پنج دفتر منطقه‌ای اینترنت — ARIN (آمریکای شمالی)، RIPE NCC (اروپا/خاورمیانه)، APNIC (آسیا-اقیانوسیه)، LACNIC (آمریکای لاتین) و AFRINIC (آفریقا) — همگی خدمات RPKI ارائه می‌دهند. ایجاد ROA رایگان است. زیرساخت رمزنگاری از قبل ساخته شده است.

مشکل این است که RPKI برای توقف واقعی hijackها به دو مرحله نیاز دارد. اول، دارندگان آدرس باید ROA ایجاد کنند. دوم، ISPها و اپراتورهای شبکه باید روترهای خود را طوری پیکربندی کنند که اعلام‌هایی که از اعتبارسنجی عبور نمی‌کنند را رد کنند (به این کار origin validation یا RPKI-ROV می‌گویند). برای کارکرد محافظت، هر دو نیمه باید انجام شوند.

وضعیت فعلی پذیرش

تا اوایل ۲۰۲۶، حدود ۵۰–۵۵٪ از پیشوندهای IPv4 مسیریابی شده در سطح جهانی ROA معتبر دارند — یعنی دارندگانشان آنها را با RPKI امضا کرده‌اند. این رقم از حدود ۲۰٪ در سال ۲۰۲۰ افزایش یافته که پیشرفت واقعی است. اما ایجاد ROA فقط نیمی از معادله است.

Origin validation — فیلتری که مسیرهای بد را رد می‌کند — در شبکه‌های بسیار کمتری مستقر شده است. NIST تخمین می‌زند که حدود ۳۰–۳۵٪ از شبکه‌های Tier-1 و Tier-2 در حال حاضر RPKI-ROV را اجرا می‌کنند. اپراتورهای بزرگ آمریکا (AT&T، Verizon، Lumen/CenturyLink) کند بوده‌اند. اپراتورهای اروپایی، به ویژه آنهایی که به RIPE NCC متصل هستند، نرخ پذیرش بالاتری دارند. برخی CDNهای بزرگ مانند Cloudflare و Fastly آن را اجرا می‌کنند. بیشتر ISPهای منطقه‌ای و شبکه‌های سازمانی چنین نمی‌کنند.

معنای این: حتی اگر ROA شما بگوید که یک پیشوند متعلق به شماست، بخش قابل توجهی از زیرساخت اینترنت همچنان یک اعلام hijack شده از آن پیشوند را از شخص دیگری می‌پذیرد. محافظت جزئی است، نه جهانی.

چرا اینقدر طول می‌کشد

دلایل کندی پذیرش بیشتر عملیاتی و اقتصادی است، نه فنی. پیکربندی RPKI-ROV روی روترهای یک اپراتور نیاز به تغییر سیاست مسیریابی در هر نقطه اتصال و هر روتر مرزی دارد. یک ROA اشتباه پیکربندی شده می‌تواند یک شبکه قانونی را غیرقابل دسترس کند — درمان خود باعث قطعی می‌شود. ISPهای بزرگی که صدها هزار مسیر حمل می‌کنند، به طور قابل درکی نگران فعال کردن فیلتری هستند که ممکن است به طور ناخواسته ترافیک معتبر را رها کند.

همچنین یک شکاف انگیزشی وجود دارد. هزینه‌های یک BGP hijack بر دوش شبکه قربانی است. کار استقرار RPKI-ROV بر دوش هر شبکه دیگر. برای هر ISP منفرد، محاسبه به طور تاریخی این بوده: تلاش از من، منفعت پخش شده. این یک مشکل کلاسیک هماهنگی است.

تنظیم‌کنندگان شروع به واکنش کرده‌اند. CISA و FCC در آمریکا راهنماهایی برای تشویق استقرار RPKI در میان اپراتورهای آمریکایی منتشر کرده‌اند و اصول «Secure by Design» CISA به طور صریح به امنیت BGP اشاره می‌کند. دستورالعمل NIS2 اتحادیه اروپا که در ۲۰۲۴ اجرایی شد، اپراتورهای خدمات ضروری را ملزم به اجرای اقدامات امنیتی BGP می‌کند — هرچند اجرا در کشورهای عضو هنوز ناهماهنگ است.

فراتر از RPKI: چه چیزی برای امنیت واقعی مسیریابی لازم است

RPKI-ROV فقط مبدأ یک مسیر را اعتبارسنجی می‌کند — اولین AS که آن را اعلام می‌کند. مسیر کامل سفر یک اعلام مسیر را تأیید نمی‌کند. یک راه حل کامل‌تر به نام BGPsec امضاهای رمزنگاری را به هر مرحله از مسیر اضافه می‌کند، اما نیاز به پشتیبانی هر AS در طول مسیر دارد و تأثیر عملکردی قابل توجهی روی سخت‌افزار روتر دارد. استقرار عملاً صفر است.

یک راه حل میانی به نام ASPA (Autonomous System Provider Authorization) در سال ۲۰۲۴ توسط IETF استاندارد شد. ASPA به شبکه‌ها اجازه می‌دهد رکوردهایی را امضا کنند که مشخص می‌کند کدام ASها ارائه‌دهندگان بالادستی آنها هستند. این کار تشخیص و رد دسته‌ای از نشت مسیرها را که RPKI-ROV نمی‌گیرد ممکن می‌کند — به طور خاص مواردی که یک شبکه به طور تصادفی مسیرهای مشتری خود را به سایر ارائه‌دهندگانش اعلام می‌کند. ASPA مورد توجه است اما در مراحل بسیار اولیه استقرار قرار دارد.

واقعیت زیرین این است که امنیت مسیریابی اینترنت یک مشکل اقدام جمعی است. برای مؤثر بودن کامل، اکثریت شبکه‌های مهم باید همزمان رویه‌های عملیاتی خود را تغییر دهند. RPKI در پنج سال گذشته پیشرفت واقعی داشته است — روند مثبت است — اما با سرعت فعلی، یک بازیگر دولتی مصمم یا یک روتر Tier-1 اشتباه پیکربندی شده همچنان می‌تواند ترافیک جهانی اینترنت را تغییر مسیر دهد. راه حل فنی وجود دارد. شکاف استقرار مشکل است.