cloudflare클라우드플레어

ASPA로 인터넷 라우팅 보안 강화: 경로 누출을 막아라!

by DD
3개월 전
조회수 20

BGP 라우팅(BGP Routing)의 취약점인 경로 누출(Route Leak) 문제를 해결하기 위해 ASPA(Autonomous System Provider Authorization)라는 새로운 암호화 표준 도입

ASPA는 RPKI(Resource Public Key Infrastructure)를 기반으로, 트래픽 경로(Traffic Path) 전체를 검증하여 승인되지 않은 네트워크를 통한 트래픽 흐름을 방지

Cloudflare Radar는 ASPA 배포 현황을 모니터링하는 기능을 제공하며, AS 수준의 ASPA 레코드 및 변경 사항 추적 가능

ASPA는 위조된 경로(Forged-Origin) 공격 방어에 효과적이나, 일부 시나리오(Provider Forgery)에서는 무력화될 수 있음

ASPA의 작동 원리: 경로 검증

ASPA는 인터넷 트래픽의 경로를 검증하여 BGP 라우팅(BGP Routing)의 보안 취약점을 해결한다. 기존 RPKI(Resource Public Key Infrastructure)의 ROA(Route Origin Authorization)가 트래픽의 목적지를 검증하는 반면, ASPA는 AS_PATH(Autonomous System Path)를 분석하여 트래픽이 승인된 경로를 따르는지 확인한다.

Up-Ramp & Down-Ramp 검증: ASPA는 트래픽의 시작점(Origin)과 도착점(Destination)에서 각각 승인된 Provider 목록을 확인하여 경로의 유효성을 검증

Valley-Free Routing: ASPA는 고객(Customer)에서 Provider로, 다시 Provider에서 목적지로 이어지는 정상적인 라우팅 구조(Routing Structure)를 기반으로 경로 누출(Route Leak)을 탐지

검증 실패 시: ASPA는 경로가 유효하지 않다고 판단하고, 해당 경로를 차단하여 보안을 강화한다.

ASPA와 RPKI: 보안의 진화

ASPA는 기존 RPKI(Resource Public Key Infrastructure)를 기반으로, 인터넷 라우팅 보안을 한 단계 더 발전시킨 기술이다. RPKI는 ROA(Route Origin Authorization)를 통해 출발지(Origin)의 신뢰성을 검증하지만, ASPA는 경로 자체의 무결성(Integrity)을 보장한다.

ROA의 한계: ROA는 출발지 AS(Autonomous System)의 정당성을 확인하지만, 경로 중간의 악의적인 행위(Malicious Action)는 방지 불가

ASPA의 역할: ASPA는 각 AS가 자신의 Provider를 명시적으로 지정하도록 하여, 경로 중간의 위변조(Tampering)를 방지

상호 보완: ROA와 ASPA는 함께 사용되어 출발지, 경로, 목적지 모두를 검증함으로써, 인터넷 라우팅의 신뢰성을 극대화한다.

ASPA를 활용한 위조 경로 공격 방어

ASPA는 위조된 출발지(Forged-Origin) 공격에 대한 효과적인 방어 메커니즘을 제공한다. 공격자는 ROV(Route Origin Validation)를 우회하여 실제 AS(Autonomous System)의 IP 주소를 사칭하고, 악의적인 BGP 경로를 광고할 수 있다.

공격 탐지: ASPA는 각 AS가 자신의 승인된 Provider 목록을 공개하도록 하여, 공격자가 위조한 경로가 유효한지 검증

경로 거부: 공격자의 AS가 승인된 Provider 목록에 포함되지 않으면, 해당 경로는 ASPA에 의해 거부

한계점: Provider가 고객을 속여 가짜 피어링(Peering) 관계를 맺는 경우에는 ASPA로도 방어가 불가능하다.

Cloudflare Radar를 통한 ASPA 배포 모니터링

Cloudflare Radar는 ASPA의 배포 현황을 모니터링하는 기능을 제공하여, ASPA의 도입 추세(Adoption Trend)를 시각적으로 파악할 수 있도록 돕는다. 이를 통해 인터넷 라우팅 보안의 발전 과정을 추적하고, 문제 발생 시 신속하게 대응할 수 있다.

ASPA 배포 현황: 5개의 RIR(Regional Internet Registries)별 ASPA 채택률을 시간 경과에 따라 추적

AS 수준 정보: 특정 AS(Autonomous System)의 ASPA 레코드 및 변경 사항을 상세하게 확인

라우팅 페이지 통합: 국가/지역 및 ASN 라우팅 페이지에 ASPA 데이터를 통합하여, 인프라 보안 수준을 직관적으로 파악 가능

Cloudflare Radar는 ASPA의 도입을 장려하고, 인터넷 라우팅 보안의 투명성을 확보하는 데 기여한다.

ASPA 도입의 과제와 미래

ASPA는 인터넷 라우팅 보안을 강화하는 중요한 기술이지만, 성공적인 도입을 위해서는 해결해야 할 과제들이 존재한다. RPKI Relaying Party(RP) 패키지, 서명자(Signer) 구현, RTR(RPKI-to-Router protocol) 소프트웨어, BGP 구현 등 다양한 요소들의 업데이트가 필요하다.

BGP 역할 설정: RFC9234에 정의된 BGP 역할을 설정하여, ASPA 구현 시 알고리즘 선택에 도움을 줄 수 있음

ASPA 객체 관리: ASPA 객체 생성 및 유지 관리에 주의를 기울여, 정상적인 Provider를 누락하는 경우 트래픽 손실(Traffic Loss) 발생 가능성에 대비

지속적인 노력: ASPA는 인터넷 라우팅 보안의 필수적인 요소이며, 지속적인 관심과 투자를 통해 발전시켜야 한다.

ASPA: making Internet routing more secure
원문 읽기