こんにちは!私はDataLineのシニアネットワークエンジニアとして働いており、2009年からネットワーキングに携わっており、BGPルーティングプロトコルの脆弱性が原因で企業がどのように攻撃されたかを外部から観察する時間がありました。 BGPハイジャックだけでも価値があります。数年前、ハッカーはBGPルートを傍受して137,000ドルを盗みました。
リモートコントロールへの移行に伴い、企業はNGFW、IPS / IDS、WAF、およびその他のソリューションを使用した安全な接続を通じて、自宅からのアクセスを整理します。しかし、BGPセキュリティは時々忘れられます。一連の記事では、各サービスプロバイダーの顧客が、インターネット上のグローバルルーティング保護ツールであるRPKIを使用して自分自身を保護する方法を紹介します。最初の記事では、それがどのように機能するか、そして数回クリックするだけでクライアント側の保護を構成する方法を例を挙げて説明します。2番目では、Ciscoルーターの例を使用してBGPにRPKIを実装した経験を共有します。
RPKIについて知っておくべき重要なことと、冷蔵庫はそれと何の関係があるのか
RPKI (Resource Public Key Infrastructure) – . , .
. (), ( ), , - .
. RPKI X.509 PKI, RFC3779. . , , :
:
IANA (Internet Address Number Authority) – . - IANA, IP- . (AS) – IP- , . AS .
RIR (Regional Internet Registry) – -, IANA . 5 – RIPE NCC, ARIN, APNIC, AfriNIC, LACNIC.
LIR (Local Internet Registry) – -, , -. RIR LIR’, .
RPKI. , . IANA RIR, – LIR.
, . RPKI RIR – " ", Trust Anchors.
. , , ROA.
ROA (Route Origin Authorisation) – c , , AS - . ROA 3 :
AS, ;
( IP- : xxx.xxx.xxx.xxx/yy);
.
, AS . , . , .
, ROA :
VALID – ROA, ROA. AS AS_PATH AS ROA, ROA, .
INVALID – ROA, ROA.
UNKNOWN – , ROA Trust Anchor RIR. , . RPKI, . UNKNOWN .
. , .../22, AS N. ROA. Trust Anchor, UNKNOWN.
ROA c : AS N, .../22, – /23. AS N - /22 /23 , /22 . VALID.
/24 AS N /22 (/23+/23) AS P, INVALID. , /24 , . , ROA ROA.
:
RPKI-.
- RPKI.
. - .
. - RPKI ROA Trust Anchors RSYNC RRDP . RPKI- ROA . ROA, RPKI-RTR. TCP- 8282. .
, – -. AS /24 IP-, eBGP , full view , . , RPKI .
ROA , .
RIPE NCC :
RIPE https://my.ripe.net. Resourses, – RPKI Dashboard.
, RIPE EULA.
(Certificate Authority, CA):
- Hosted – RIPE;
- Non-Hosted – .
Hosted. Non-Hosted XML-, . RIPE NCC XML-, RPKI CA.
RPKI Dashboard BGP Announncements. Show All.
- Origin AS. ROA Create ROAs for selected BGP announcements.
, ROA. :
Publish!
, ! !
PI- RIPE . Wizard RIPE NCC: https://portal.ripe.net/rpki-enduser.
RPKI. BGP , , , – .
-, RPKI.
, !