- इंटरनेट के मुख्य routing protocol BGP(Border Gateway Protocol) का काम path selection है, लेकिन इसमें security validation built-in नहीं है
- इसकी वजह से अगर गलत path information फैल जाए तो traffic hijacking या बड़े पैमाने पर outage हो सकते हैं, और इसे रोकने के लिए RPKI(Resource Public Key Infrastructure) लाया गया
- RPKI path की प्रामाणिकता को cryptographically verify करता है और गलत path को ‘invalid’ मानकर block कर सकता है
- Cloudflare दुनिया भर के प्रमुख ISP और transit operators में RPKI adoption की स्थिति को track और publish करता है, और कुछ operators अब भी ‘unsafe’ स्थिति में हैं
- इंटरनेट routing को सुरक्षित बनाने के लिए सभी प्रमुख network operators को RPKI और filtering पूरी तरह adopt करनी होगी
क्या BGP अभी भी सुरक्षित नहीं है
- Border Gateway Protocol(BGP) इंटरनेट की ‘postal service’ की तरह है, जो data के जाने के लिए उपलब्ध routes में से सबसे बेहतर route चुनने का काम करता है
- लेकिन इसमें security features built-in नहीं हैं, इसलिए गलत route information फैलने पर बड़े पैमाने पर internet outage या traffic hijacking हो सकती है
- इसे हल करने के लिए Resource Public Key Infrastructure(RPKI) नाम की authentication framework अपनाने पर route की प्रामाणिकता verify की जा सकती है
- कई global ISP और transit operators RPKI अपना रहे हैं, और Cloudflare इसे track करके सार्वजनिक करता है
- इंटरनेट routing को सुरक्षित बनाने के लिए सभी प्रमुख network operators को RPKI अपनाना होगा
नवीनतम अपडेट
- 3 फ़रवरी 2026 को global Tier-1 transit operator Sparkle(AS6762) ने RPKI-invalid prefixes को reject किया
- 1 अक्टूबर 2025 को Slovakia के प्रमुख transit operator Energotel(AS31117) ने RPKI-invalid route filtering शुरू की
- 28 अगस्त 2025 को Canada के बड़े ISP Bell Canada(AS577) ने अपने network में RPKI-invalid route filtering लागू की
- 22 फ़रवरी 2024 को Europe के सबसे बड़े ISP में से एक Deutsche Telekom(AS3320) ने global network पर RPKI Origin Validation लागू किया
- 24 जनवरी 2024 को अमेरिका की Verizon(AS701) ने पूरे network में RPKI Origin Validation का पूर्ण rollout किया
प्रमुख ऑपरेटरों की स्थिति
- Cloudflare 31 प्रमुख operators की RPKI signing और filtering status प्रकाशित करता है
- Lumen, Arelion, Cogent, NTT, Sparkle, Hurricane Electric, GTT, TATA, Zayo, Vodafone जैसे प्रमुख transit operators सभी ‘safe’ स्थिति में हैं
- Comcast, AT&T, Verizon, Deutsche Telekom, KPN, Swisscom, Bell Canada जैसे प्रमुख ISP भी signing और filtering पूरी कर चुके हैं
- कुछ operators (Google, IIJ, OCN, Vivacom आदि) केवल आंशिक रूप से लागू हैं, इसलिए उन्हें ‘partially safe’ में वर्गीकृत किया गया है
- China Telecom, KT, SK Broadband, TurkTelekom, Vodafone DE, PLDT, IBM Cloud, OVH आदि अब भी ‘unsafe’ स्थिति में हैं
BGP hijacking क्या है
- इंटरनेट हज़ारों autonomous systems(AS) से बने distributed network structure पर चलता है
- हर node route का फैसला केवल अपने सीधे जुड़े nodes से मिली जानकारी के आधार पर करता है
- BGP hijacking वह स्थिति है जब कोई malicious node गलत route information फैलाकर traffic को intercept करता है
- अगर security protocol न हो, तो यह गलत जानकारी दुनिया भर में फैल सकती है और data गलत route पर भेजा जा सकता है
- RPKI cryptographic verification के जरिए ऐसे गलत routes को invalid घोषित करके block कर सकता है
RPKI की भूमिका
- RPKI(Resource Public Key Infrastructure) एक security framework है जो routes और autonomous systems को cryptographically जोड़कर verify करता है
- 8 लाख से अधिक internet routes को manual रूप से verify करना संभव नहीं है, इसलिए RPKI इस प्रक्रिया को automate करता है
- RPKI सक्रिय होने पर, गलत route information फैलने पर भी router उसे ‘invalid’ मानकर reject कर देता है
- Cloudflare ब्लॉग में RPKI के काम करने के तरीके और deployment examples को विस्तार से समझाया गया है
BGP सुरक्षित क्यों नहीं है
- मूल रूप से BGP में security protocol built-in नहीं है
- हर autonomous system को खुद गलत route filtering करनी पड़ती है
- route leak गलत configuration या malicious behavior की वजह से होता है और इंटरनेट के कुछ हिस्सों को inaccessible बना सकता है
- BGP hijacking traffic को दूसरे systems की ओर मोड़कर data theft या eavesdropping संभव बना सकता है
- सुरक्षित routing के लिए सभी AS को केवल legitimate routes advertise करने और filtering करने की ज़रूरत है
परीक्षण का तरीका
- Cloudflare यह test करने की सुविधा देता है कि कोई ISP सुरक्षित BGP लागू कर रहा है या नहीं
- वह एक legitimate लेकिन जानबूझकर ‘invalid’ मार्क किए गए route को announce करता है और देखता है कि उपयोगकर्ता उस website तक पहुँच पा रहा है या नहीं
- अगर पहुँच संभव है, तो इसका मतलब है कि संबंधित ISP गलत route स्वीकार कर रहा है
अतिरिक्त सुरक्षा प्रयास
- network operators और developers असुरक्षित routing protocols को बेहतर बनाने के लिए standardization work पर काम कर रहे हैं
- Cloudflare MANRS(Mutually Agreed Norms for Routing Security) initiative में भाग लेता है
- MANRS routing infrastructure को मजबूत करने वाला global community initiative है, जिसमें सदस्य filtering mechanisms लागू करने पर सहमत होते हैं
- जितने अधिक operators इसमें शामिल होंगे, उतना ही पूरे इंटरनेट का routing security level बेहतर होगा
उपयोगकर्ता क्या कर सकते हैं
- isbgpsafeyet.com पेज को साझा करके RPKI adoption की ज़रूरत के बारे में जागरूकता फैलाई जा सकती है
- अपने ISP या hosting provider से RPKI adoption और MANRS joining का अनुरोध किया जा सकता है
- प्रमुख ISP अगर RPKI अपनाएँ, तभी पूरा इंटरनेट अधिक सुरक्षित हो सकता है
- Cloudflare इस संदेश पर ज़ोर देता है: “जब इंटरनेट सुरक्षित होता है, तो सबको लाभ मिलता है”
अभी कोई टिप्पणी नहीं है.