De trapos a RPKI-riquezas-1. Validação de rota de conexão em ВGP

Olá! Trabalho como engenheiro de rede sênior na DataLine, estou envolvido com redes desde 2009 e tive tempo de observar de fora como as empresas foram atacadas devido à vulnerabilidade do protocolo de roteamento BGP. O Hijacking de BGP sozinho já vale a pena: alguns anos atrás, os hackers roubaram US $ 137.000 interceptando as rotas de BGP .





Com a transição para o controle remoto, as empresas organizam o acesso de casa por meio de conexões seguras usando NGFW, IPS / IDS, WAF e outras soluções. Mas a segurança do BGP às vezes é esquecida. Em uma série de artigos, mostrarei como o cliente de cada provedor de serviços pode se proteger com RPKI, uma ferramenta de proteção de roteamento global na Internet. No primeiro artigo, explicarei com um exemplo como funciona e como configurar a proteção do lado do cliente com alguns cliques. No segundo, compartilharei minha experiência de implementação de RPKI em BGP usando o exemplo de roteadores Cisco. 





O que é importante saber sobre RPKI e o que a geladeira tem a ver com isso

RPKI (Resource Public Key Infrastructure) – . , . 





. (), ( ), , - .





. RPKI X.509 PKI, RFC3779. . , , :





:





IANA (Internet Address Number Authority) – . - IANA, IP- . (AS) – IP- , . AS .





RIR (Regional Internet Registry) – -, IANA . 5 – RIPE NCC, ARIN, APNIC, AfriNIC, LACNIC. 





LIR (Local Internet Registry) – -, , -. RIR LIR’, . 





RPKI. , . IANA RIR, – LIR.  





, . RPKI RIR – " ", Trust Anchors.





. , , ROA.





ROA (Route Origin Authorisation) – c , , AS  - .  ROA 3 :





  • AS, ;





  • ( IP- : xxx.xxx.xxx.xxx/yy);





  • .





, AS . , . , .





, ROA :





  • VALID – ROA, ROA.  AS AS_PATH AS ROA, ROA, . 





  • INVALID – ROA, ROA.





  • UNKNOWN – , ROA Trust Anchor RIR. , . RPKI, . UNKNOWN .





. , .../22, AS N.   ROA. Trust Anchor, UNKNOWN.   





ROA c : AS N, .../22, – /23. AS N - /22 /23 , /22 . VALID.   





/24 AS N /22 (/23+/23) AS P, INVALID. , /24 , . , ROA ROA.





:





  1. RPKI-. 





  2. - RPKI.





. - . 





. - RPKI ROA Trust Anchors RSYNC RRDP . RPKI- ROA . ROA, RPKI-RTR. TCP- 8282. .





 

, – -.  AS /24 IP-, eBGP , full view , . , RPKI .





ROA , . 





RIPE NCC :





  1. RIPE https://my.ripe.net. Resourses, – RPKI Dashboard. 





    , RIPE EULA.





    (Certificate Authority, CA):





    - Hosted – RIPE; 





    - Non-Hosted – . 





    Hosted. Non-Hosted XML-, . RIPE NCC XML-, RPKI CA. 





  2. RPKI Dashboard BGP Announncements. Show All.





  3. - Origin AS. ROA Create ROAs for selected BGP announcements.





  4. , ROA. :





    Publish!





, ! !





PI- RIPE .  Wizard RIPE NCC: https://portal.ripe.net/rpki-enduser.





RPKI. BGP , , , – . 





-,   RPKI. 





, !








All Articles