Clever Geek Handbook

من الخرق إلى RPKI-riches-1. ربط التحقق من صحة الطريق في ВGP

مرحبا! أعمل كمهندس شبكات أول في DataLine ، وقد شاركت في الشبكات منذ عام 2009 وكان لدي وقت لألاحظ من الخارج كيف تعرضت الشركات للهجوم بسبب ضعف بروتوكول توجيه BGP. BGP Hijacking وحدها تستحق العناء: قبل عامين ، سرق المتسللون 137000 دولار عن طريق اعتراض طرق BGP .





مع الانتقال إلى جهاز التحكم عن بعد ، تنظم الشركات الوصول من المنزل من خلال اتصالات آمنة باستخدام NGFW و IPS / IDS و WAF وغيرها من الحلول. لكن أمان BGP يُنسى أحيانًا. في سلسلة من المقالات ، سأوضح لك كيف يمكن لعميل كل مزود خدمة تأمين نفسه باستخدام RPKI ، أداة حماية التوجيه العالمية على الإنترنت. في المقالة الأولى ، سأشرح بمثال كيف يعمل وكيف يتم تكوين الحماية من جانب العميل ببضع نقرات. في الثانية ، سأشارك تجربتي في تنفيذ RPKI في BGP باستخدام مثال أجهزة توجيه Cisco. 





ما هو مهم أن تعرفه عن RPKI ، وما علاقة الثلاجة به

RPKI (Resource Public Key Infrastructure) – . , . 





. (), ( ), , - .





. RPKI X.509 PKI, RFC3779. . , , :





:





IANA (Internet Address Number Authority) – . - IANA, IP- . (AS) – IP- , . AS .





RIR (Regional Internet Registry) – -, IANA . 5 – RIPE NCC, ARIN, APNIC, AfriNIC, LACNIC. 





LIR (Local Internet Registry) – -, , -. RIR LIR’, . 





RPKI. , . IANA RIR, – LIR.  





, . RPKI RIR – " ", Trust Anchors.





. , , ROA.





ROA (Route Origin Authorisation) – c , , AS  - .  ROA 3 :





  • AS, ;





  • ( IP- : xxx.xxx.xxx.xxx/yy);





  • .





, AS . , . , .





, ROA :





  • VALID – ROA, ROA.  AS AS_PATH AS ROA, ROA, . 





  • INVALID – ROA, ROA.





  • UNKNOWN – , ROA Trust Anchor RIR. , . RPKI, . UNKNOWN .





. , .../22, AS N.   ROA. Trust Anchor, UNKNOWN.   





ROA c : AS N, .../22, – /23. AS N - /22 /23 , /22 . VALID.   





/24 AS N /22 (/23+/23) AS P, INVALID. , /24 , . , ROA ROA.





:





  1. RPKI-. 





  2. - RPKI.





. - . 





. - RPKI ROA Trust Anchors RSYNC RRDP . RPKI- ROA . ROA, RPKI-RTR. TCP- 8282. .





 

, – -.  AS /24 IP-, eBGP , full view , . , RPKI .





ROA , . 





RIPE NCC :





  1. RIPE https://my.ripe.net. Resourses, – RPKI Dashboard. 





    , RIPE EULA.





    (Certificate Authority, CA):





    - Hosted – RIPE; 





    - Non-Hosted – . 





    Hosted. Non-Hosted XML-, . RIPE NCC XML-, RPKI CA. 





  2. RPKI Dashboard BGP Announncements. Show All.





  3. - Origin AS. ROA Create ROAs for selected BGP announcements.





  4. , ROA. :





    Publish!





, ! !





PI- RIPE .  Wizard RIPE NCC: https://portal.ripe.net/rpki-enduser.





RPKI. BGP , , , – . 





-,   RPKI. 





, !







More articles:


All Articles