新闻详情

APNIC 49会议观察 | 域名系统安全和路由安全升级进程正经历爬坡过坎

11
发表时间:2020-02-27 14:21作者:马迪

如果把互联网比作大海,那么层出不穷的互联网创新应用就是波涛汹涌的海面。而在深海处的互联网底层支撑技术(域名系统和路由系统),虽然看起来相对平静,但也正在经历深刻的变化。正如ICANN 首席技术官David Conrad在第49届APNIC会议开幕式上发表演讲时表达的观点:从现在开始往后的下一个25年,虽然DNS和IP依然是互联网的关键基础设施,但会演进到新的服务形式,正如当前广泛部署的基于DNS over HTTP的安全域名解析机制(RFC8484)和基于RPKI的路由验证机制(RFC6480)。


互联网社群特别是技术社群,对域名系统安全和路由安全的话题并不陌生。根据相关统计,互联网域名系统和路由系统,是遭受攻击频率最高的互联网基础设施。且一旦遭受攻击,均容易导致大面积的“断网”。2020年2月18日-21日,第49届亚太互联网信息中心会议(APNIC 49)在澳大利亚的墨尔本召开。互联网域名系统和路由系统依旧是APNIC会议的热门话题。但会议期间的各种讨论表明,他们的安全升级进程并不轻松,正在经历爬坡过坎的关键阶段。




域名系统:

内化为中枢神经,外化为信任锚点


在此次APNIC会议期间的“网络接入安全”专题研讨会上,ICANN专家Merike Kaeo做了一篇题为 《Securing IoT Devices - The DNS Angle》报告。报告认为,域名系统和物联网的深度结合后,传统的域名系统能不能抵御来自物联网设备的攻击和运行风险,将是对域名系统安全机制在企业网部署应用的重要考验。此外,在“国际安全响应联盟”研讨会上,ICANN 首席技术官David Conrad做了题为《DNS Ecosystem Security Efforts at ICANN》,介绍了ICANN在维护域名系统安全范畴所做的工作。


当前的互联网域名系统,不时地遭受批评和质疑。但不可否认的是,作为一个全球性的命名寻址空间,域名系统取得了巨大的成功。尽管有设计的缺陷,但在可预见的未来,域名系统都将为全球互联网社群所难以割舍。一方面,域名系统是互联网的“中枢神经系统”,已经和各类互联网基础服务进行了深度融合,形成了“剪不断、理还乱”的关系。任何针对域名系统的颠覆,都将对现有互联网运行产生巨大的影响,甚至是“服务中断”;另一方面,作为全球泛在目录,辅之以DNSSEC的保护,域名系统与时俱进地演化为一个轻量级的PKI(公钥基础设施),变成很多互联网认证服务的信任锚点,例如DANE(基于DNS的身份认证,RFC6394)和CAA(基于DNS的证书审计,RFC8659)。


尽管有DNSSEC提供数据完整性保护,但互联网社群逐渐认识到,要让域名系统安全机制充分发挥作用,还是需要解决好“DNS最后一公里”安全问题。作用于用户和DNS递归解析服务器之间的数据交换过程,DoH(内嵌于https的DNS查询机制,RFC8484)应运而生,成为最近几年域名安全领域的热点话题。DoH虽然保护了数据安全和隐私,但其引入的DNS加密流量给企业网络安全管理带来了挑战。评估DoH部署对网络管理的影响,成了新的研究热点。

域名系统承载的服务越来越多,针对域名系统的安全补丁越打越复杂。域名系统安全是运营商、规模网络企业以及互联网服务提供商,在实施网络安全顶层设计时不容忽视的要素。


路由系统:

对等互联与层次化管理的博弈场


此次会议期间,“APNIC互联网路由安全SIG”召开了第一次会议并确定了章程。路由安全SIG会议,并不是此次APNIC大会期间唯一讨论路由安全的场合。两场“RPKI部署”研讨会、一场“路由安全与Whois”研讨会、两场“BGP与路由运行”研讨会,以及在NIR SIG会议和APNIC服务研讨会上,路由安全话题的高光亮相,都表明路由安全特别是基于RPKI的路由安全机制,已经成为APNIC最热门的话题。


路由安全是老生常谈的话题,但在APNIC社群变成热点,却是最近今年的事情。特别是在去年APNIC韩国会议(2019年2月)上,APNIC董事会在全体大会上强调,伴随着RPKI在全球的部署应用,RPKI和路由安全将成为APNIC工作的重点之一。在随后的APNIC泰国会议(2019年9月)上,APNIC社群及董事会通过了成立“路由安全SIG”的决议。此外,APNIC在本次会议期间向社群介绍了“AS0机制”(一种通过RPKI来冻结未分配IP地址路由的认证机制),并公开讨论了APNIC社群使用“AS0机制”的政策提案。APNIC以及其它地址注册机构,也在会议期间分享了使用RPKI来修正IRR(互联网路由注册数据库)和传统的WHOIS服务。RPKI正在加速与其它互联网基础资源数据服务的融合,成为互联网地址注册机构的核心服务之一。


RPKI的部署应用让包括APNIC在内的互联网地址注册机构,深度地参与到路由安全认证工作中,成为认证的信任锚点。自RPKI诞生以来,互联网社群就有声音,担心RPKI的应用形成了一个以地址注册机构为“根”的层级化认证体系,并介入到原本对等且扁平的路由控制系统。笔者和RPKI发明人Stephen Kent博士合著的IETF RFC 8211(RPKI供给侧数据安全威胁模型)指出了RPKI的运行风险,并在作为第一作者起草的IETF RFC8416(RPKI本地化控制机制)中,给出了一种RPKI数据本地修复机制。RFC8416自2018年发布以来,获得几乎全球所有RPKI主流验证软件的支持。但RFC8416仅仅解决了RPKI本地化控制,要想全面解决RPKI在路由控制层面的数据风险,还须互联网社群的技术人员结合全球网络的互联互通格局提出解决方案。这是全面利用RPKI来保障路由安全的重要基础。


结语:


一年两次的APNIC会议,融汇了技术标准研讨、运行经验分享和治理政策制定,不仅是近距离观察互联网发展的窗口,也是“发出中国声音、给出中国方案”的平台。这次APNIC会议依旧反映出,针对域名系统和路由控制系统的安全升级工作,非朝夕可就,需要在部署应用过程中逐渐形成最佳实践。这些工作当前处在的爬坡过坎阶段,是我国相关机构及技术人员参与其中并积极贡献智慧的好时机。


笔者介绍

WechatIMG2348.jpeg

马迪,互联网域名系统国家工程研究中心(ZDNS)首席研究员,亚太互联网信息中心(APNIC) 路由安全SIG联合创始人及co-chair,ICANN域名根服务器咨询委员会核心专家组成员。



分享到:
_______________
_______________
_______________
_______________
友情互联:
___________________________________________________________________________________________________________________
邮箱:web@zdns.cn
7*24小时客户服务
咨询电话:400-6688-876
标签:DNS    智能 DNS    DNS 厂商    专业 DNS
请输入要描述的内容进行内容补充 请输入要描述的内容
01
03
请输入要描述的内容进行内容补充 请输入要描述的内容
___________________________________________________________________________________________________________________
京ICP备15027496号-3 | 京公网安备11010802021115号 | All rights reserved
扫码了解更多详情