NO.22 | 2017.09.30
banner
title有備而來 友善列印>>
網路營運商不可不知,Route Filtering、CSIRT的建立、營運與DNSSEC _資通安全組 李兆文 副工程師



今年亞太網路資訊中心第44次年會(APNIC 44)在台中舉辦,距離上次台灣舉辦年會已快十年,能夠不花費機票就參加國際會議的機會實在不多,於是就接連報名Workshop與Conference。APCNIC的工作是負責亞太地區IP位址分配,故參與此次會議的成員大多為亞太區的ISP業者,網路營運商與各國的NIC。

在Workshop的部分我參加Network Security的課題,一般的網路安全講述的範圍大多為公司內部網路,但很特別的是APNIC所專注卻是跨營運商、跨ASN的網路安全,視角一下拉的很高。課程談論到網路設備(Router & Switch)的強化保護、Route Filtering、CSIRT的建立與營運與DNSSEC議題,這些甚少資安課程會談論,但網路營運商必要知道的議題。

網路設備(Router & Switch)的強化保護是由一位擁有20年經驗的日本ISP工程師Yoshinobu Matsuzaki講述,他認為透過監控route netflow的資訊,可以有效的分析與偵測異常狀況。但有別於一般公司流量,ISP的流量不可能完整捕捉,故需要透過採樣技術來降低數據量,他自己經驗採樣率為1/16382。透過netflow分析,可以分析斷線、設備損壞、甚至可以在edge route阻擋DOS攻擊。另一個阻擋放大式DOS攻擊的方法是使用RFC2827的方法,透過route內所維護的route table來拒絕假冒來源IP的封包對外傳送。這對於營運商應該是很可以實作的方法,因為營運商必定能夠知道自己的IP網段只存在哪些Router的服務範圍中,其他非在其範圍的IP都可以視為仿冒,設定上也十分簡單,cisco與juniper皆已經實作。

Route Filtering的講師為Champika Wijayatunga,一位從ICANN來的資安經理,Route filtering一樣是只有網路營運商需要關注的議題,其觀念是指在IP core network中透過IP的Prefix來過濾非法的轉送封包,例如在router的wan端收到私人網段IP路由轉送就要濾掉,或是在ipv6中prefixes長於/48的轉送等。

CSIRT的建立與營運是由APNIC的資安專家Adli所講述,Adli目前為國際資安應變組織的理事,這節課除了講述資安事件應變的流程,還談論到資安情勢的調查工具https://www.cybergreen.net/以及https://www.shodan.io/ ,可以透過上述工具了解各國之資安情勢是否有所改善。另外Adli目前也是apnic之Honeypot負責人,曾經透過誘捕系統獲取許多珍貴的情資,他認為誘捕系統的情資是CSIRT成功不可或缺的要素。

DNSSEC一直是貫穿Workshop與Conference的主要議題,因為DNS以經是相當古老的協定,即容易遭受攻擊,故ICANN與APNIC等組織都大聲呼籲使用DNSSEC技術,但目前台灣DNSSEC的流量只占全台DNS查詢流量的3%,相當的低。類似DNSSEC在台灣不流行但國外一直提倡的技術還有Resource Public Key Infrastructure(RPKI),RPKI是目前用來防禦與偵測BGP Hijacking的機制,一旦發生都是相當嚴重的資安事件,我與NCC的吳簡正當場有查詢國內有支援RPKI的ISP,數目竟然是零(有錯請指證),國內ISP與ASN都還需要加油。