Kentik’te İnternet Analizi Direktörü olan Doug Madory, Help Net Security röportajında, FCC’nin büyük ABD İSS’lerinin RPKI Rota Köken Doğrulaması’nı (ROV) uygulamasını zorunlu kılan teklifini ele alıyor ve ABD tarafından zorunlu kılınan değişikliklerin daha küçük İSS’ler üzerindeki etkisi ve küresel etkileri konusundaki endişelere değiniyor.
FCC’nin teklifi, dokuz büyük ABD İSS’sinin RPKI Rota Köken Doğrulaması (ROV) uygulamasını gerektiriyor. Özellikle bu sağlayıcılar arasında RPKI dağıtımının farklı seviyeleri göz önüne alındığında, RPKI’yi bu kadar büyük ölçekte uygulamanın başlıca faydaları ve potansiyel zorlukları nelerdir?
RPKI ROV, BGP yönlendirme kazalarından kaynaklanan kesinti riskini azaltmak için sahip olduğumuz en iyi mekanizmadır.
RPKI ROV’u dağıtmak için bir ağ iki şey yapmalıdır. İlk olarak, her rota için uygun AS kökenini iddia eden kayıtlar olan Rota Kökeni Yetkilendirmeleri (ROA’lar) oluşturmalıdır. İkinci olarak, yönlendiricilerini gelen BGP duyurularını değerlendirecek ve yayınlanan ROA’larla eşleşmeyenleri reddedecek şekilde yapılandırmalıdır.
Her iki adım da şirket mühendislerinin bu yetenekleri kurmak ve sürdürmek için özverili bir çaba göstermesini gerektiriyor.
BGP güvenliğine ilişkin düzenleyici zorunluluklar, özellikle ortaya çıkan güvenlik standartlarına uyum sağlama yetenekleri açısından daha küçük İSS’lere önemli yükler getirebilir. Bu endişeler ne kadar geçerli ve daha küçük İSS’leri desteklemek için hangi önlemler uygulanabilir?
RPKI ROV’u dağıtmak mühendislik zamanı gerektirir, bu nedenle daha küçük İSS’lere binen yük hakkındaki endişe geçerlidir. Bu, Küresel Siber İttifak ve İnternet Topluluğu’nun ortak tepkisiyle dile getirilen bir endişeydi.
FCC’nin mevcut teklifi en büyük İSS’lere odaklanıyor, bu nedenle şu anda bu gereksinimin daha küçük İSS’lere nasıl genişletilebileceği belirsiz. RPKI ROV dağıtmış daha büyük İSS’lerden geçiş kullanan daha küçük İSS’lere sağlanan bir miktar koruma var.
FCC teklifi, rotaların en az %90’ının ROA’lar tarafından doğrulanması gerektiği yönünde bir ölçüt içeriyor. Ancak, şu anda dokuz büyük İSS’den yalnızca beşi bu eşiği karşılıyor. Geriye kalan İSS’ler arasında RPKI’nin tam olarak benimsenmesini engelleyen teknik ve operasyonel zorluklar nelerdir?
Örneğin AT&T ve Verizon gibi sağlayıcılar tarafından başlatılan tüm rotalara baktığımızda, bunların şu anda %90 eşiğinin altında olduğunu görüyoruz. Ancak, bu şirketler mobil hizmete ek olarak, diğer şirketlere ait rotaları duyurmak da dahil olmak üzere bir dizi hizmet sunmaktadır.
Eğer FCC sadece bu iki şirketin en çok bilinen mobil hizmetleriyle ilgileniyorsa, bu rotaların %90’ının ROA’ya sahip olması söz konusu olabilir.
Ve tabii ki, bu sağlayıcıların bu tür bir metriği manipüle etmek için uygulayabilecekleri hileler de var; örneğin, ROA’lı rotaları daha küçük rotalara bölerek sayıyı artırmak.
FCC’nin bu metriğe hangi rotaların dahil edileceği konusunda daha fazla rehberlik sağlaması gerekecek.
Öneri, tüm BGP rotalarını eşit şekilde ele almak yerine bir “risk yönetimi” yaklaşımını teşvik ediyor. Trafik hacmi ve rota önemine odaklanmanın BGP güvenlik risklerini yönetmek için daha etkili bir çerçeve sağlayabileceği konusunda ayrıntılı bilgi verebilir misiniz?
Öneri, sağlayıcılardan çabalarını nereye odaklayacaklarını belirlemek için risk yönetimini kullanmalarını istiyor ve yorumlamayı onlara bırakıyor. Bazı rotalar, kesintiye uğramaları durumunda daha yüksek risk oluşturacak DNS veya kimlik doğrulama yazılımı gibi önemli hizmetlere ev sahipliği yapıyor olabilir.
Kentik, her rotaya ait trafik istatistiklerine sahip olma konusunda benzersiz bir konumdadır ve bu nedenle bu ölçümleri analizimizde bir risk puanı olarak kullandık. İçgörü, daha fazla trafiğe sahip rotaların kesintiye uğradığında daha yüksek risk oluşturmasıdır.
Bu trafik tabanlı risk modeli, sağlayıcıların bazılarının sadece rotaları saymanın önerebileceğinden daha iyi performans gösterebileceğini gösterdi. Başka bir deyişle, ROA’ları olmayan rotaların çoğu çok fazla veya hiç trafik taşımıyordu ve kesintiye uğradığında çok az risk oluşturuyordu.
FCC’nin teklifi ABD merkezli olsa da, BGP küresel bir protokoldür. ABD tarafından zorunlu kılınan bu değişiklikler, özellikle RPKI’nin benimsenmesinin hala erken aşamalarında olduğu bölgelerde, uluslararası yönlendirmeyi ve küresel internet istikrarını nasıl etkileyebilir?
BGP küresel bir protokol olsa da, mevcut durum bazı ülkelerin neredeyse evrensel RPKI ROV konuşlandırmasına sahipken bazılarının çok az olmasıdır. ABD, yurtiçindeki duruşunu iyileştirirse, ABD’nin internetteki merkezi konumu nedeniyle diğer ülkelerdeki sağlayıcılara bazı taşma etkileri olabilir.
Ancak GCA ve ISOC’un internet sektörünün tamamında paylaşılan endişesi, bu gerekliliğin kanunlaştırılmasının, zamanla kaçınılmaz olarak değişen yeni teknolojilere uyum sağlamayı zorlaştırabileceğidir.
RPKI’nin ötesine bakıldığında, hangi diğer ortaya çıkan teknolojiler veya stratejiler (ASPA veya Peerlock gibi) BGP güvenliğini tamamlayabilir veya geliştirebilir? İSS’ler bu çeşitli teknolojilerin benimsenmesini nasıl dengelemelidir?
RPKI ROV, belirli bir yönlendirme kazası türüne (örneğin kaynak sızıntıları) karşı savunmada iyidir, ancak yardımcı olamayacağı birkaç senaryo daha vardır. ASPA, sağlayıcılar arasındaki yönlendirme sızıntılarının neden olduğu kesintileri sınırlamaya yardımcı olacak RPKI üzerine inşa edilmiş daha yeni bir teknolojidir. ASPA oldukça yenidir, bu nedenle yardımcı olmaya başlamadan önce daha fazla benimsenmesi gerekecektir.
Sonuç olarak, İSS’lerin RPKI ROV, ASPA ve diğer rota filtreleme mekanizmalarını birleştiren bir yönlendirme hijyeni “kemer ve askı” yaklaşımına ihtiyacı olacak. İyi haber şu ki, İSS’ler son on yılda bu araçları dağıtma konusunda iyi bir iş çıkarıyor ve yönlendirme güvenliği birkaç yıl öncesine göre büyük ölçüde iyileşti!