Apakah BGP Masih Belum Aman

• BGP(Border Gateway Protocol), protokol routing inti Internet, bertugas memilih jalur, tetapi tidak memiliki fungsi verifikasi keamanan bawaan
• Akibatnya, jika informasi rute yang salah tersebar, dapat terjadi pembajakan trafik atau gangguan berskala besar, dan untuk mencegah hal ini diperkenalkan RPKI(Resource Public Key Infrastructure)
• RPKI memverifikasi keaslian rute secara kriptografis sehingga rute yang salah dapat ditandai sebagai invalid dan diblokir
• Cloudflare melacak dan mempublikasikan status penerapan RPKI oleh ISP utama dan operator transit di seluruh dunia, dan beberapa operator masih berada dalam status unsafe
• Routing Internet baru bisa aman jika semua operator jaringan utama sepenuhnya mengadopsi RPKI dan filtering

Apakah BGP Masih Belum Aman

• Border Gateway Protocol(BGP) adalah ‘layanan pos’ Internet yang bertugas memilih jalur terbaik di antara rute yang dapat dilalui data
• Namun, karena tidak memiliki fitur keamanan bawaan, jika informasi rute yang salah tersebar, dapat terjadi gangguan Internet berskala besar atau pembajakan trafik
• Untuk mengatasi hal ini, dengan menerapkan sistem autentikasi bernama Resource Public Key Infrastructure(RPKI), keaslian rute dapat diverifikasi
• Sejumlah ISP global dan operator transit sedang mengadopsi RPKI, dan Cloudflare melacak serta mempublikasikannya
• Routing Internet hanya bisa menjadi aman jika semua operator jaringan utama mengadopsi RPKI

Pembaruan terbaru

• 3 Februari 2026, operator transit global Tier-1 Sparkle(AS6762) menolak prefix RPKI-invalid
• 1 Oktober 2025, operator transit utama Slovakia Energotel(AS31117) mulai memfilter rute RPKI-invalid
• 28 Agustus 2025, ISP besar Kanada Bell Canada(AS577) memfilter rute RPKI-invalid di dalam jaringannya
• 22 Februari 2024, Deutsche Telekom(AS3320), salah satu ISP terbesar di Eropa, menerapkan RPKI Origin Validation pada jaringan globalnya
• 24 Januari 2024, Verizon(AS701) di AS menyelesaikan deployment penuh RPKI Origin Validation di seluruh jaringannya

Status operator utama

• Cloudflare mempublikasikan status penandatanganan dan filtering RPKI dari 31 operator utama
• Operator transit utama seperti Lumen, Arelion, Cogent, NTT, Sparkle, Hurricane Electric, GTT, TATA, Zayo, Vodafone semuanya berstatus safe
• ISP besar seperti Comcast, AT&T, Verizon, Deutsche Telekom, KPN, Swisscom, Bell Canada juga telah menyelesaikan penandatanganan dan filtering
• Beberapa operator (Google, IIJ, OCN, Vivacom, dll.) baru menerapkan sebagian sehingga diklasifikasikan sebagai partially safe
• China Telecom, KT, SK Broadband, TurkTelekom, Vodafone DE, PLDT, IBM Cloud, OVH, dll. masih berada dalam status unsafe

Apa itu BGP hijacking

• Internet adalah struktur jaringan terdistribusi yang terdiri dari ribuan Autonomous System(AS)
• Setiap node menentukan rute hanya berdasarkan informasi yang diterima dari node yang terhubung langsung dengannya
• BGP hijacking adalah tindakan node berbahaya menyebarkan informasi rute yang salah untuk mencegat trafik
• Tanpa protokol keamanan, informasi salah ini dapat menyebar ke seluruh dunia sehingga data dikirim melalui rute yang keliru
• RPKI memungkinkan rute yang salah seperti ini dibatalkan dan diblokir melalui verifikasi kriptografis

Peran RPKI

• RPKI(Resource Public Key Infrastructure) adalah framework keamanan yang memverifikasi dengan menghubungkan rute dan autonomous system secara kriptografis
• Karena mustahil memverifikasi secara manual lebih dari 800 ribu rute Internet, RPKI mengotomatisasi proses ini
• Saat RPKI aktif, meskipun informasi rute yang salah tersebar, router akan menilainya sebagai invalid dan menolaknya
• Blog Cloudflare menjelaskan secara rinci cara kerja RPKI dan contoh deployment-nya

Mengapa BGP tidak aman

• Pada dasarnya, BGP tidak memiliki protokol keamanan bawaan
• Setiap autonomous system harus melakukan filtering rute yang salah secara mandiri
• Route leak terjadi karena salah konfigurasi atau tindakan berbahaya, dan dapat membuat sebagian Internet tidak dapat diakses
• BGP hijacking dapat mengarahkan trafik ke sistem lain sehingga memungkinkan pencurian informasi atau penyadapan
• Routing yang aman hanya mungkin jika semua AS mengumumkan rute yang sah dan melakukan filtering

Cara pengujian

• Cloudflare menyediakan fitur untuk menguji apakah ISP telah menerapkan BGP yang aman
• Mereka mengumumkan rute yang sah tetapi sengaja ditandai sebagai invalid, lalu memeriksa apakah pengguna masih bisa mengakses situs web tersebut
• Jika masih bisa diakses, itu berarti ISP tersebut menerima rute yang salah

Upaya keamanan tambahan

• Operator jaringan dan developer sedang melakukan pekerjaan standardisasi untuk memperbaiki protokol routing yang tidak aman
• Cloudflare berpartisipasi dalam inisiatif MANRS(Mutually Agreed Norms for Routing Security)
  • MANRS adalah komunitas global untuk memperkuat infrastruktur routing, dan para anggotanya setuju untuk menerapkan mekanisme filtering
• Semakin banyak operator yang berpartisipasi, semakin meningkat tingkat keamanan routing di seluruh Internet

Apa yang bisa dilakukan pengguna

• Dapat membagikan halaman isbgpsafeyet.com untuk menyebarluaskan pentingnya adopsi RPKI
• Dapat meminta ISP atau operator hosting sendiri untuk mengadopsi RPKI dan bergabung dengan MANRS
• Seluruh Internet baru bisa aman jika ISP utama mengadopsi RPKI
• Cloudflare menekankan pesan bahwa "jika Internet menjadi aman, semua orang akan diuntungkan"