Dari kain perca hingga RPKI-riches-1. Menghubungkan validasi rute di ВGP

Halo! Saya bekerja sebagai insinyur jaringan senior di DataLine, telah terlibat dalam jaringan sejak 2009 dan memiliki waktu untuk mengamati dari luar bagaimana perusahaan diserang karena kerentanan protokol perutean BGP. Membajak BGP saja sudah sepadan: beberapa tahun yang lalu, peretas mencuri $ 137.000 dengan mencegat rute BGP .

Dengan transisi ke remote control, perusahaan mengatur akses dari rumah melalui koneksi aman menggunakan NGFW, IPS / IDS, WAF, dan solusi lainnya. Namun keamanan BGP terkadang dilupakan. Dalam serangkaian artikel, saya akan menunjukkan kepada Anda bagaimana setiap pelanggan penyedia layanan dapat mengamankan diri mereka sendiri dengan RPKI, alat perlindungan perutean global di Internet. Di artikel pertama saya akan menjelaskan dengan contoh cara kerjanya dan cara mengatur perlindungan sisi klien dalam beberapa klik. Yang kedua, saya akan berbagi pengalaman saya menerapkan RPKI di BGP menggunakan contoh router Cisco. 

Apa yang penting untuk diketahui tentang RPKI, dan apa hubungannya lemari es dengannya

RPKI (Resource Public Key Infrastructure) – . , . 

. (), ( ), , - .

. RPKI X.509 PKI, RFC3779. . , , :

:

IANA (Internet Address Number Authority) – . - IANA, IP- . (AS) – IP- , . AS .

RIR (Regional Internet Registry) – -, IANA . 5 – RIPE NCC, ARIN, APNIC, AfriNIC, LACNIC. 

LIR (Local Internet Registry) – -, , -. RIR LIR’, . 

RPKI. , . IANA RIR, – LIR.  

, . RPKI RIR – " ", Trust Anchors.

. , , ROA.

ROA (Route Origin Authorisation) – c , , AS  - .  ROA 3 :

• AS, ;

  
  
  
  
  

• ( IP- : xxx.xxx.xxx.xxx/yy);

  
  
  
  
  

• .

  
  
  
  
  

, AS . , . , .

, ROA :

• VALID – ROA, ROA.  AS AS_PATH AS ROA, ROA, . 

  
  
  
  
  

• INVALID – ROA, ROA.

  
  
  
  
  

• UNKNOWN – , ROA Trust Anchor RIR. , . RPKI, . UNKNOWN .

  
  
  
  
  

. , .../22, AS N.   ROA. Trust Anchor, UNKNOWN.   

ROA c : AS N, .../22, – /23. AS N - /22 /23 , /22 . VALID.   

/24 AS N /22 (/23+/23) AS P, INVALID. , /24 , . , ROA ROA.

:

1. RPKI-. 

   
   
   
   
   

2. - RPKI.

   
   
   
   
   

. - . 

. - RPKI ROA Trust Anchors RSYNC RRDP . RPKI- ROA . ROA, RPKI-RTR. TCP- 8282. .

 

, – -.  AS /24 IP-, eBGP , full view , . , RPKI .

ROA , . 

RIPE NCC :

1. RIPE https://my.ripe.net. Resourses, – RPKI Dashboard. 

   
   
   
   
   

   

   , RIPE EULA.

   
   
   
   
   

   (Certificate Authority, CA):

   
   
   
   
   

   - Hosted – RIPE; 

   
   
   
   
   

   - Non-Hosted – . 

   
   
   
   
   

   Hosted. Non-Hosted XML-, . RIPE NCC XML-, RPKI CA. 

   
   
   
   
   

2. RPKI Dashboard BGP Announncements. Show All.

   
   
   
   
   

   

3. - Origin AS. ROA Create ROAs for selected BGP announcements.

   
   
   
   
   

   

4. , ROA. :

   
   
   
   
   

   

   Publish!

   
   
   
   
   

   

, ! !

PI- RIPE .  Wizard RIPE NCC: https://portal.ripe.net/rpki-enduser.

RPKI. BGP , , , – . 

-,   RPKI. 

, !