Von Lumpen zu RPKI-Reichtum-1. Verbindungsroutenvalidierung in ВGP

Hallo! Ich arbeite als Senior Network Engineer bei DataLine, bin seit 2009 im Networking tätig und hatte Zeit, von außen zu beobachten, wie Unternehmen aufgrund der Sicherheitslücke des BGP-Routing-Protokolls angegriffen wurden. BGP-Hijacking allein lohnt sich: Vor ein paar Jahren haben Hacker 137.000 US-Dollar gestohlen, indem sie BGP-Routen abgefangen haben .

Mit dem Übergang zur Fernsteuerung organisieren Unternehmen den Zugriff von zu Hause aus über sichere Verbindungen mithilfe von NGFW, IPS / IDS, WAF und anderen Lösungen. Aber die BGP-Sicherheit wird manchmal vergessen. In einer Reihe von Artikeln werde ich Ihnen zeigen, wie sich der Kunde jedes Dienstanbieters mit RPKI, einem globalen Routing-Schutz-Tool im Internet, absichern kann. Im ersten Artikel werde ich anhand eines Beispiels erklären, wie es funktioniert und wie der clientseitige Schutz mit wenigen Klicks konfiguriert wird. Im zweiten Teil werde ich meine Erfahrungen mit der Implementierung von RPKI in BGP am Beispiel von Cisco-Routern teilen. 

Was ist wichtig über RPKI zu wissen und was hat der Kühlschrank damit zu tun?

RPKI (Resource Public Key Infrastructure) – . , . 

. (), ( ), , - .

. RPKI X.509 PKI, RFC3779. . , , :

:

IANA (Internet Address Number Authority) – . - IANA, IP- . (AS) – IP- , . AS .

RIR (Regional Internet Registry) – -, IANA . 5 – RIPE NCC, ARIN, APNIC, AfriNIC, LACNIC. 

LIR (Local Internet Registry) – -, , -. RIR LIR’, . 

RPKI. , . IANA RIR, – LIR.  

, . RPKI RIR – " ", Trust Anchors.

. , , ROA.

ROA (Route Origin Authorisation) – c , , AS  - .  ROA 3 :

• AS, ;

  
  
  
  
  

• ( IP- : xxx.xxx.xxx.xxx/yy);

  
  
  
  
  

• .

  
  
  
  
  

, AS . , . , .

, ROA :

• VALID – ROA, ROA.  AS AS_PATH AS ROA, ROA, . 

  
  
  
  
  

• INVALID – ROA, ROA.

  
  
  
  
  

• UNKNOWN – , ROA Trust Anchor RIR. , . RPKI, . UNKNOWN .

  
  
  
  
  

. , .../22, AS N.   ROA. Trust Anchor, UNKNOWN.   

ROA c : AS N, .../22, – /23. AS N - /22 /23 , /22 . VALID.   

/24 AS N /22 (/23+/23) AS P, INVALID. , /24 , . , ROA ROA.

:

1. RPKI-. 

   
   
   
   
   

2. - RPKI.

   
   
   
   
   

. - . 

. - RPKI ROA Trust Anchors RSYNC RRDP . RPKI- ROA . ROA, RPKI-RTR. TCP- 8282. .

 

, – -.  AS /24 IP-, eBGP , full view , . , RPKI .

ROA , . 

RIPE NCC :

1. RIPE https://my.ripe.net. Resourses, – RPKI Dashboard. 

   
   
   
   
   

   

   , RIPE EULA.

   
   
   
   
   

   (Certificate Authority, CA):

   
   
   
   
   

   - Hosted – RIPE; 

   
   
   
   
   

   - Non-Hosted – . 

   
   
   
   
   

   Hosted. Non-Hosted XML-, . RIPE NCC XML-, RPKI CA. 

   
   
   
   
   

2. RPKI Dashboard BGP Announncements. Show All.

   
   
   
   
   

   

3. - Origin AS. ROA Create ROAs for selected BGP announcements.

   
   
   
   
   

   

4. , ROA. :

   
   
   
   
   

   

   Publish!

   
   
   
   
   

   

, ! !

PI- RIPE .  Wizard RIPE NCC: https://portal.ripe.net/rpki-enduser.

RPKI. BGP , , , – . 

-,   RPKI. 

, !