檢視 RPKI 的原始碼

[[Category:BGP]]
[[Category:RPKI]]
== 說明 ==
=== 什麼是RPKI？ ===
: 資源公鑰基礎建設 (Resource Public Key Infrastructure, RPKI) 是一個基於公共密鑰基礎建設框架，用於保護網際網路路由基礎建設，特別是在邊界閘道器協定 (Border Gateway Protocol, BGP) 上。
: RPKI 提供了將網際網路號碼資源資訊（如IP地址）連結到信任錨（Trust Anchor）的方法。
: 使用 RPKI，號碼資源的合法持有者能夠掌握網際網路路由協定的運作，以防止路由劫持和其他攻擊。
=== 什麼是ROA？ ===
: 路由來源授權 (Route Origination Authorizations, ROA) 是 BGP 路由通告的證明。
: 它證明來源 AS 號碼被授權的 IP 位址前綴宣告。
: 此證明可以使用 RPKI 進行加密驗證。
=== 什麼是RTR？ ===
: Resource Public Key Infrastructure (RPKI) to Router Protocol
: [https://tools.ietf.org/html/rfc8210 RFC 8210]
== 實作 ==
=== ROA登錄 ===
: [https://myrpki.twnic.tw TWNIC RPKI 服務管理系統]
=== RPKI Validator ===
: RTR server 實作
* IXP, IX, ISP 可自行建置
: 目前有4套 (1) Routinator, (2) RIPE, (3) OctoRPKI and (4) FORT validators on an Ubuntu Linux system(16.04).
: 請參考: [https://blog.apnic.net/2019/10/28/how-to-installing-an-rpki-validator/ How to: Installing an RPKI Validator]
* TWNIC 有建置, 並提供公開使用
** RPKI Validator Web 介面:
*: 您可以在這個頁面中查詢您透過 RPKI 服務系統設定的 ROA，確保您的設定正確並成功。
*: [https://validator.twnic.net.tw/roas RPKI Validator]
** Router 查詢介面:
*: 請於支援 RPKI 的路由器上設定 validator 的 IP 位址: 203.119.3.3，Validator 服務會使用到port: 323，可以讓路由器查詢全世界所設定的 ROA。
*: 有關市面上支援 RPKI 路由器以及路由器如何設定請參考:
*: https://www.ripe.net/manage-ips-and-asns/resource-management/certification/router-configuration
=== RTR client ===
* 自行建置
: 有粉多套, 不想寫......
: 各家 BGP Ruoter 新版韌體應該都會提供.
* MikroTik RouterOS 7.1
: 我們家用的 BGP Router
: 在 7.1 版有 RTR client 及工具
 # RTR client
 # validate routes in route filters against a group with "rpki-validate"
 # in filters "match-rpki" can be used to match exact state
 
 /routing/bgp/rpki add group=TwnicRpkiValidator address=203.119.3.3 port=323 refresh-interval=20
 
 /routing/filter/rule add chain=bgp_in rpki-verify=TwnicRpkiValidator
 /routing/filter/rule add chain=bgp_in match-rpki=invalid action=reject
 /routing/filter/rule add chain=bgp_in action=accept

 # RPKI tool to check prefix validity
 
 /routing rpki-check group=TwnicRpkiValidator prfx=70.132.18.0/24 origin-as=16509