互聯網的邊界網關協議(BGP)似乎是黑客和獨立國家眼里的新寵兒，不過BGP專家Wim Remes表示，濫用BGP絕不是什么新現象――確保BGP安全實際上相當簡單。

Remes是Rapid7公司的歐洲、中東和非洲區(EMEA)戰略服務經理，他說：“我認為，最大的問題是了解互聯網上的信任。”Remes表示，有一些基本的方法可以嚴格確保BGP的安全，但是這么做的服務提供商或企業組織為數并不多。

Remes近日出席了拉斯維加斯召開的黑帽大會，他在題為《BPG安全現狀》的分會上概述了BGP安全方面的觀點。他說：“面向BGP的這些安全技術效果非常好，而且部署起來成本低廉，自治系統號(ASN)所有者缺少部署這些安全技術的動機。”

不過Remes表示，如今的一大首要問題卻是互聯網上的信任，愛德華•斯諾頓泄露頗有爭議的美國國家安全局(NAS)監視行為之后，信任嚴重受挫。

與此同時，網絡犯罪分子和獨立國家日益濫用互聯網底層的BGP流量路由架構，出于牟利或政治原因，劫持或擾亂網絡。BGP有可能通過路由器假冒、分布式拒絕服務攻擊和流量劫持而遭到濫用。

OpenDNS的 Dan Hubbard將在黑帽大會上發布一款新的免費工具，名為BGP Stream，它可以通過推文發布可疑的BGP/自治系統號(ASN)更新和變化方面的警示信息，那樣網絡所有者、互聯網服務提供商(ISP)和主機托管提供商就能隨時了解惡意的網絡變化，這些網絡變化可能會劫持或者以其他方式擾亂流量。OpenDNS的首席技術官Hubbard說，BGP是攻擊者的武器庫中的“新式家伙”。

Rapid7的Remes建議對BGP進行監控，另外加固BGP路由器和用來配置及監控BGP基礎設施的系統，此外對那些系統實行“嚴格的訪問控制”。

據Remes聲稱，為BGP路由系統部署資源公鑰基礎設施(RPKI)是另一種明顯的安全方法。RPKI可以核實/驗證分配的路由來自合法的來源，而不是惡意的來源，因而防止流量重新路由至惡意目的地。Remes表示，實施RPKI成本低廉，而且相當簡單。他說：“路由器收到更新后，它們由本地的區域注冊機構加以簽名。”

他特別指出，部署來自RIPE的開源RPKI驗證軟件花不了15分鐘。

他表示，ISP及其他大型企業組織可能會采用它。RPKI提供的核實/驗證機制酷似DNSSec為DNS流量提供的那種機制。他表示，RPKI還讓你可以“在你和同伴之間創建不同的信任級別”。

他表示，BGP監控是另一種簡單而有用的做法。比如說，科羅拉多大學平時就收集和監控BGP流量，并提供實時的源源不斷的BGP事件。Hurricane Electric這家互聯網服務提供商就使用BGP儀表板和數據集用于跟蹤BGP問題，Team Cymru也在監控BGP流量。

總部位于盧森堡的計算機緊急響應小組-盧森堡計算機事件緊急響應中心(CERT CIRCL)在運行BGP Ranking項目，該項目把BGP數據與惡意活動(惡意軟件和IP黑名單)關聯起來。

Remes說：“完全有大量的BGP數據可供使用。”

那么，企業應該如何做好BGP安全工作呢?他說：“明白你自己擁有哪些資產，監控你自己的自治系統號(ASN)或者是基于云的ASN。有人會將目光瞄準你或你依賴的服務，”所以跟蹤BGP流量大有幫助，他如是說。

Remes表示，但是如今采用RPKI的組織其比例大概只有7%，據RIPE聲稱，到2020年連50%都達不到。據Remes聲稱，這不夠好：“ASN所有者應該力爭比這做得更好。”