Des chiffons aux RPKI-richesses-1. Connexion de la validation d'itinéraire dans ВGP

salut! Je travaille comme ingénieur réseau senior chez DataLine, je suis impliqué dans le réseautage depuis 2009 et j'ai eu le temps d'observer de l'extérieur comment les entreprises ont été attaquées en raison de la vulnérabilité du protocole de routage BGP. Le détournement BGP en vaut la peine: il y a quelques années, des pirates ont volé 137000 $ en interceptant des routes BGP .

Avec la transition vers le contrôle à distance, les entreprises organisent l'accès depuis leur domicile via des connexions sécurisées à l'aide de NGFW, IPS / IDS, WAF et d'autres solutions. Mais la sécurité BGP est parfois oubliée. Dans une série d'articles, je vais vous montrer comment les clients de chaque fournisseur de services peuvent se sécuriser avec RPKI, un outil de protection de routage global sur Internet. Dans le premier article, j'expliquerai avec un exemple comment cela fonctionne et comment configurer la protection côté client en quelques clics. Dans le second, je partagerai mon expérience d'implémentation de RPKI en BGP en utilisant l'exemple des routeurs Cisco. 

Ce qu'il est important de savoir sur RPKI et quel est le rapport entre le réfrigérateur

RPKI (Resource Public Key Infrastructure) – . , . 

. (), ( ), , - .

. RPKI X.509 PKI, RFC3779. . , , :

:

IANA (Internet Address Number Authority) – . - IANA, IP- . (AS) – IP- , . AS .

RIR (Regional Internet Registry) – -, IANA . 5 – RIPE NCC, ARIN, APNIC, AfriNIC, LACNIC. 

LIR (Local Internet Registry) – -, , -. RIR LIR’, . 

RPKI. , . IANA RIR, – LIR.  

, . RPKI RIR – " ", Trust Anchors.

. , , ROA.

ROA (Route Origin Authorisation) – c , , AS  - .  ROA 3 :

• AS, ;

  
  
  
  
  

• ( IP- : xxx.xxx.xxx.xxx/yy);

  
  
  
  
  

• .

  
  
  
  
  

, AS . , . , .

, ROA :

• VALID – ROA, ROA.  AS AS_PATH AS ROA, ROA, . 

  
  
  
  
  

• INVALID – ROA, ROA.

  
  
  
  
  

• UNKNOWN – , ROA Trust Anchor RIR. , . RPKI, . UNKNOWN .

  
  
  
  
  

. , .../22, AS N.   ROA. Trust Anchor, UNKNOWN.   

ROA c : AS N, .../22, – /23. AS N - /22 /23 , /22 . VALID.   

/24 AS N /22 (/23+/23) AS P, INVALID. , /24 , . , ROA ROA.

:

1. RPKI-. 

   
   
   
   
   

2. - RPKI.

   
   
   
   
   

. - . 

. - RPKI ROA Trust Anchors RSYNC RRDP . RPKI- ROA . ROA, RPKI-RTR. TCP- 8282. .

 

, – -.  AS /24 IP-, eBGP , full view , . , RPKI .

ROA , . 

RIPE NCC :

1. RIPE https://my.ripe.net. Resourses, – RPKI Dashboard. 

   
   
   
   
   

   

   , RIPE EULA.

   
   
   
   
   

   (Certificate Authority, CA):

   
   
   
   
   

   - Hosted – RIPE; 

   
   
   
   
   

   - Non-Hosted – . 

   
   
   
   
   

   Hosted. Non-Hosted XML-, . RIPE NCC XML-, RPKI CA. 

   
   
   
   
   

2. RPKI Dashboard BGP Announncements. Show All.

   
   
   
   
   

   

3. - Origin AS. ROA Create ROAs for selected BGP announcements.

   
   
   
   
   

   

4. , ROA. :

   
   
   
   
   

   

   Publish!

   
   
   
   
   

   

, ! !

PI- RIPE .  Wizard RIPE NCC: https://portal.ripe.net/rpki-enduser.

RPKI. BGP , , , – . 

-,   RPKI. 

, !