क्या BGP अभी भी सुरक्षित नहीं है

 (isbgpsafeyet.com)
2 पॉइंट द्वारा GN⁺ 2026-04-03 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • इंटरनेट के मुख्य routing protocol BGP(Border Gateway Protocol) का काम path selection है, लेकिन इसमें security validation built-in नहीं है
  • इसकी वजह से अगर गलत path information फैल जाए तो traffic hijacking या बड़े पैमाने पर outage हो सकते हैं, और इसे रोकने के लिए RPKI(Resource Public Key Infrastructure) लाया गया
  • RPKI path की प्रामाणिकता को cryptographically verify करता है और गलत path को ‘invalid’ मानकर block कर सकता है
  • Cloudflare दुनिया भर के प्रमुख ISP और transit operators में RPKI adoption की स्थिति को track और publish करता है, और कुछ operators अब भी ‘unsafe’ स्थिति में हैं
  • इंटरनेट routing को सुरक्षित बनाने के लिए सभी प्रमुख network operators को RPKI और filtering पूरी तरह adopt करनी होगी

क्या BGP अभी भी सुरक्षित नहीं है

  • Border Gateway Protocol(BGP) इंटरनेट की ‘postal service’ की तरह है, जो data के जाने के लिए उपलब्ध routes में से सबसे बेहतर route चुनने का काम करता है
  • लेकिन इसमें security features built-in नहीं हैं, इसलिए गलत route information फैलने पर बड़े पैमाने पर internet outage या traffic hijacking हो सकती है
  • इसे हल करने के लिए Resource Public Key Infrastructure(RPKI) नाम की authentication framework अपनाने पर route की प्रामाणिकता verify की जा सकती है
  • कई global ISP और transit operators RPKI अपना रहे हैं, और Cloudflare इसे track करके सार्वजनिक करता है
  • इंटरनेट routing को सुरक्षित बनाने के लिए सभी प्रमुख network operators को RPKI अपनाना होगा

नवीनतम अपडेट

  • 3 फ़रवरी 2026 को global Tier-1 transit operator Sparkle(AS6762) ने RPKI-invalid prefixes को reject किया
  • 1 अक्टूबर 2025 को Slovakia के प्रमुख transit operator Energotel(AS31117) ने RPKI-invalid route filtering शुरू की
  • 28 अगस्त 2025 को Canada के बड़े ISP Bell Canada(AS577) ने अपने network में RPKI-invalid route filtering लागू की
  • 22 फ़रवरी 2024 को Europe के सबसे बड़े ISP में से एक Deutsche Telekom(AS3320) ने global network पर RPKI Origin Validation लागू किया
  • 24 जनवरी 2024 को अमेरिका की Verizon(AS701) ने पूरे network में RPKI Origin Validation का पूर्ण rollout किया

प्रमुख ऑपरेटरों की स्थिति

  • Cloudflare 31 प्रमुख operators की RPKI signing और filtering status प्रकाशित करता है
  • Lumen, Arelion, Cogent, NTT, Sparkle, Hurricane Electric, GTT, TATA, Zayo, Vodafone जैसे प्रमुख transit operators सभी ‘safe’ स्थिति में हैं
  • Comcast, AT&T, Verizon, Deutsche Telekom, KPN, Swisscom, Bell Canada जैसे प्रमुख ISP भी signing और filtering पूरी कर चुके हैं
  • कुछ operators (Google, IIJ, OCN, Vivacom आदि) केवल आंशिक रूप से लागू हैं, इसलिए उन्हें ‘partially safe’ में वर्गीकृत किया गया है
  • China Telecom, KT, SK Broadband, TurkTelekom, Vodafone DE, PLDT, IBM Cloud, OVH आदि अब भी ‘unsafe’ स्थिति में हैं

BGP hijacking क्या है

  • इंटरनेट हज़ारों autonomous systems(AS) से बने distributed network structure पर चलता है
  • हर node route का फैसला केवल अपने सीधे जुड़े nodes से मिली जानकारी के आधार पर करता है
  • BGP hijacking वह स्थिति है जब कोई malicious node गलत route information फैलाकर traffic को intercept करता है
  • अगर security protocol न हो, तो यह गलत जानकारी दुनिया भर में फैल सकती है और data गलत route पर भेजा जा सकता है
  • RPKI cryptographic verification के जरिए ऐसे गलत routes को invalid घोषित करके block कर सकता है

RPKI की भूमिका

  • RPKI(Resource Public Key Infrastructure) एक security framework है जो routes और autonomous systems को cryptographically जोड़कर verify करता है
  • 8 लाख से अधिक internet routes को manual रूप से verify करना संभव नहीं है, इसलिए RPKI इस प्रक्रिया को automate करता है
  • RPKI सक्रिय होने पर, गलत route information फैलने पर भी router उसे ‘invalid’ मानकर reject कर देता है
  • Cloudflare ब्लॉग में RPKI के काम करने के तरीके और deployment examples को विस्तार से समझाया गया है

BGP सुरक्षित क्यों नहीं है

  • मूल रूप से BGP में security protocol built-in नहीं है
  • हर autonomous system को खुद गलत route filtering करनी पड़ती है
  • route leak गलत configuration या malicious behavior की वजह से होता है और इंटरनेट के कुछ हिस्सों को inaccessible बना सकता है
  • BGP hijacking traffic को दूसरे systems की ओर मोड़कर data theft या eavesdropping संभव बना सकता है
  • सुरक्षित routing के लिए सभी AS को केवल legitimate routes advertise करने और filtering करने की ज़रूरत है

परीक्षण का तरीका

  • Cloudflare यह test करने की सुविधा देता है कि कोई ISP सुरक्षित BGP लागू कर रहा है या नहीं
  • वह एक legitimate लेकिन जानबूझकर ‘invalid’ मार्क किए गए route को announce करता है और देखता है कि उपयोगकर्ता उस website तक पहुँच पा रहा है या नहीं
  • अगर पहुँच संभव है, तो इसका मतलब है कि संबंधित ISP गलत route स्वीकार कर रहा है

अतिरिक्त सुरक्षा प्रयास

  • network operators और developers असुरक्षित routing protocols को बेहतर बनाने के लिए standardization work पर काम कर रहे हैं
  • Cloudflare MANRS(Mutually Agreed Norms for Routing Security) initiative में भाग लेता है
    • MANRS routing infrastructure को मजबूत करने वाला global community initiative है, जिसमें सदस्य filtering mechanisms लागू करने पर सहमत होते हैं
  • जितने अधिक operators इसमें शामिल होंगे, उतना ही पूरे इंटरनेट का routing security level बेहतर होगा

उपयोगकर्ता क्या कर सकते हैं

  • isbgpsafeyet.com पेज को साझा करके RPKI adoption की ज़रूरत के बारे में जागरूकता फैलाई जा सकती है
  • अपने ISP या hosting provider से RPKI adoption और MANRS joining का अनुरोध किया जा सकता है
  • प्रमुख ISP अगर RPKI अपनाएँ, तभी पूरा इंटरनेट अधिक सुरक्षित हो सकता है
  • Cloudflare इस संदेश पर ज़ोर देता है: “जब इंटरनेट सुरक्षित होता है, तो सबको लाभ मिलता है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2026-04-03
Hacker News की राय

  • RPKI, BGP को पूरी तरह सुरक्षित नहीं बनाता, बल्कि सिर्फ ज़्यादा सुरक्षित बनाता है
    BGP hijacking अब भी संभव है, और RPKI सिर्फ prefix के ownership को verify करता है, route को नहीं बचाता
    हमलावर अब भी खुद को पीड़ित AS के path पर होने का दिखावा करके traffic intercept कर सकता है
    इसे हल करने के लिए प्रस्तावित BGPSec को व्यावहारिक deployment के लिहाज़ से कठिन माना जाता है

    • BGP की security problem को हल करने के तरीके के रूप में Proof-Carrying Data का प्रस्ताव दिया गया
      इसमें हर message के साथ यह cryptographic proof शामिल होता है कि वह सही तरह से generate किया गया है, और network size या hop count से अलग verification time स्थिर रहता है
      BGP में latency critical नहीं होती और protocol सरल है, इसलिए यह approach व्यावहारिक हो सकती है
      ज़्यादा जानकारी के लिए rot256.dev की पोस्ट देखें
      RPKI की अब भी ज़रूरत रहेगी, लेकिन BGPSec की नहीं
    • अभी इस समस्या को कम करने की दिशा में ASPA पर काम हो रहा है
      अभी लंबा रास्ता तय करना बाकी है, लेकिन प्रमुख संस्थाएँ इसमें शामिल हैं
      IETF draft link
    • RPKI prefix ownership को verifiable बनाता है, लेकिन route अब भी trust-based है
      ऐसा लगता है कि बस वही हिस्सा मज़बूत हुआ है जिसे verify करना आसान था
    • ‘सुरक्षित’ जैसी आदर्श स्थिति असंभव है
      आख़िरकार हर cryptographic system, इंसानों द्वारा चलाए जाने वाले registry या संस्थानों पर भरोसे पर निर्भर करता है
      RPKI, उसके न होने से बेहतर है, लेकिन “अब यह काफ़ी सुरक्षित है” जैसी व्याख्या ख़तरनाक है

  • बड़े अमेरिकी ISP और mobile operators इस feature को support करते दिख रहे हैं, इसलिए इसकी adoption काफ़ी ऊँची लगती है
    लेकिन इसे ‘सुरक्षित’ कहने के लिए कितने ISP काफ़ी होंगे, और क्या region के हिसाब से फ़र्क है, यह जानने की जिज्ञासा है

    • लगता है अगर बड़े transit ISP सभी इसे लागू कर दें तो काफ़ी होगा
      अगर non-RPKI route transit से ही न गुज़र पाएँ, तो वे अपने आप अर्थहीन हो जाएँगे
    • असल में 4 से कहीं ज़्यादा, 254 operators को ‘unsafe’ दिखाया गया है
      पूरी सूची देखने के लिए ‘Show all’ दबाना पड़ता है
    • मैं UK में Sky इस्तेमाल करता हूँ, और उसे ‘unsafe’ दिखाया गया है
      अच्छा होता अगर country और operator type के हिसाब से filter की जा सकने वाली table होती
    • T-Mobile USA में test result pass और fail दोनों साथ में दिखते हैं, जो भ्रमित करता है
    • British Telecom, NTT Docomo, Vodafone Espana, Starlink, Rogers जैसे बड़े operators भी ‘unsafe’ दिखते हैं
      सिर्फ 31 को सुरक्षित बताना ज़रूरत से ज़्यादा आशावादी तस्वीर है

  • यह कि यह Cloudflare की बनाई साइट है, विडंबनापूर्ण है
    हो सकता है 2026 में इंटरनेट को तोड़ने की सबसे ज़्यादा संभावना उसी में हो

    • आजकल कंपनियों का अपने फ़ायदे की दिशा में जनमत को मनाने वाले campaign चलाना आम बात है
      अगर RPKI से फ़ायदा है तो उसे ‘इंटरनेट सुरक्षा के लिए ज़रूरी तकनीक’ कहकर प्रचारित किया जाएगा,
      और अगर identity verification चाहिए तो ‘बच्चों की सुरक्षा’ को आगे किया जाएगा
      इस तरह की marketing vaccine, हथियार और tobacco industry में भी बार-बार देखी गई है

  • RPKI अब सिर्फ ROA तक सीमित नहीं है
    BGP hijacking सिर्फ पहले hop या आख़िरी hop पर ही नहीं, बीच के बिंदुओं पर भी हो सकता है
    साइट को ASPA-invalid prefix का भी test करने के लिए update किया जाना चाहिए

  • Free SAS ISP को ‘unsafe’ दिखाया गया है, लेकिन असली test में वह सफल दिखता है
    valid.rpki.isbgpsafeyet.com पर valid prefix,
    और invalid.rpki.isbgpsafeyet.com पर invalid prefix सही तरह से handle होता है

  • ISP को table में unsafe दिखाया गया है, लेकिन test में वह सुरक्षित निकलता है

    • table का आख़िरी update 3 फ़रवरी का है, इसलिए लगता है कि उसके बाद RPKI लागू किया गया

  • हमलावर द्वारा traffic को malicious site की ओर route करने वाला graphic थोड़ा भ्रामक है
    अगर SSL certificate वैध न हो तो browser block कर देता है, इसलिए वास्तविक नुकसान सीमित रहेगा
    लेकिन DoS attack के लिए इसका दुरुपयोग अब भी संभव है

    • अगर हमलावर destination पर क़ब्ज़ा कर ले, तो वह Let’s Encrypt जैसी सेवा से वैध SSL certificate भी जारी करवा सकता है

  • RPKI और ASPA दूसरे network की तुलना में सुरक्षा बढ़ाते हैं, लेकिन registry dependency भी बढ़ाते हैं
    अगर किसी देश पर प्रतिबंध लग जाए और registry access रुक जाए, तो records update करना संभव नहीं रहेगा

    • सच तो यह है कि registry पहले से ही number allocation रद्द कर सकती थीं
      RPKI ने बस उस authority को और ताकतवर बनाया है
      आख़िरकार हम IANA की मंज़ूरी के तहत networking कर रहे हैं,
      और इससे बाहर निकलने के लिए ASN और IP allocation system को पूरी तरह redesign करना होगा

  • BGP सच में सुरक्षित तब लगेगा जब हम उसे छोड़कर SCION का इस्तेमाल करेंगे
    SCION wiki article देखें

    • लेकिन SCION को network operators के बीच snake oil माना जाता है
      single-vendor-centric structure, ASIC support की कमी, blockchain और greenwashing जैसी वजहों से उसने भरोसा खोया है
      Switzerland में इस पर प्रयोग हो रहे हैं, लेकिन पूरे industry में इसे गंभीरता से नहीं लिया जाता
    • सच में सुरक्षित होने के लिए Yggdrasil जैसी नई routing architecture की ओर जाना होगा
      Yggdrasil project देखें
    • हैरानी है कि ऐसा transition अभी तक क्यों नहीं हुआ

  • RPKI, BGP को बस थोड़ा ज़्यादा सुरक्षित बनाता है, यह कोई पूर्ण समाधान नहीं है
    यह कुछ hijacking रोकता है, लेकिन अब भी trust-based system पर अस्थायी पैबंद जैसा ही है