IP-маршрутизация – это процесс определения оптимального пути для передачи данных от источника к получателю в IP-сети с произвольной топологией. Это топология вычислительной сети, при которой: существует доступ из каждого узла сети к информации любого другого узла; между узлами сети не накладываются никакие ограничения.
В России планируется создание замещающей инфраструктуры интернета, обеспечивающей независимый учет и формирование правил маршрутизации. В том числе, это будет делаться за счет разработки сервиса валидации маршрутов, который проверит процесс на соответствие ожиданиям пользователя.
Специалисты отмечают, что инициатива РКН сложная и требует значительных технических и финансовых ресурсов. В идеале необходима система мониторинга, которая могла бы охватывать весь мир и позволяла выявить нарушителей, перехватывающих префиксы (начальная часть IP-адреса). Пока такую инфраструктуру достаточно сделать внутри России.
Основной задачей валидации маршрутов IP-адресов в России является внедрение протокола RPKI, как решения для безопасной маршрутизации BGP и защиты автономных систем от «угона» маршрутов. Протокол BGP – основной протокол, который используется для обмена маршрутами в интернете.
На данный момент за функционирование RPKI в европейском регионе отвечает международная компания, однако создание национальной инфраструктуры сделает интернет в России более независимым от внешних ресурсов и защитит внутреннюю маршрутизацию данных.
Многие исследовательские проекты посвящены проблеме повышения безопасности междоменной маршрутизации. Однако их широкому распространению препятствует необходимость обеспечивать совместимость с уже существующими решениями.
Кроме того, некоторые спецификации предусматривают серьезную криптографическую обработку, которая может повлиять на производительность. Как следствие, многие новые проекты посвящены решениям, которые отдельные организации могут использовать для того, чтобы повысить уровень собственной безопасности.
Для обеспечения безопасности в маршрутизации можно использовать следующие методы:
1. Безопасный механизм TTL. Он позволяет игнорировать пакеты с определенным значением счетчика промежуточных узлов TTL, гарантируя, что входящие пакеты находятся на расстоянии одного промежуточного узла до адресата.
2. Фильтрация. Системные администраторы могут устанавливать фильтрацию как входящих, так и исходящих префиксов, отклоняя некорректные.
3. Цифровые подписи. С их помощью можно гарантировать, что получаемые пакеты приходят от авторизованных маршрутизаторов.
4. Списки управления доступом. С их помощью маршрутизатор поддерживает соединения только с авторизованными соседними маршрутизаторами.
5. Аутентификация сообщений протокола маршрутизации.
Выбор конкретных мер по обеспечению безопасности в маршрутизации зависит от конкретных условий и требований сети.