「RPKI」修訂間的差異
跳至導覽
跳至搜尋
| (未顯示同一使用者於中間所作的 18 次修訂) | |||
| 行 1: | 行 1: | ||
| + | [[Category:Routing]] |
||
[[Category:BGP]] |
[[Category:BGP]] |
||
[[Category:RPKI]] |
[[Category:RPKI]] |
||
| + | '''網際網路號碼資源公鑰基礎設施'''<br /> |
||
| + | '''Resource Public Key Infrastructure''' |
||
== 說明 == |
== 說明 == |
||
=== 什麼是RPKI? === |
=== 什麼是RPKI? === |
||
| − | : 資源公鑰基礎 |
+ | : 網際網路號碼資源公鑰基礎設施 (Resource Public Key Infrastructure, RPKI) 是一個基於公共密鑰基礎建設框架,用於保護網際網路路由基礎建設,特別是在邊界閘道器協定 (Border Gateway Protocol, BGP) 上。 |
| + | : RPKI 提供了將網際網路號碼資源資訊 (如 IP 地址) 連結到信任錨 (Trust Anchor) 的方法。 |
||
| + | : 使用 RPKI,號碼資源的合法持有者能夠掌握網際網路路由協定的運作,以防止路由劫持和其他攻擊。 |
||
=== 什麼是ROA? === |
=== 什麼是ROA? === |
||
| − | : 路由來源授權 |
+ | : 路由來源授權 (Route Origination Authorizations, ROA) 是 BGP 路由通告的證明。 |
| + | : 它證明來源 AS 號碼被授權的 IP 位址前綴宣告。 |
||
| + | : 此證明可以使用 RPKI 進行加密驗證。 |
||
=== 什麼是RTR? === |
=== 什麼是RTR? === |
||
: Resource Public Key Infrastructure (RPKI) to Router Protocol |
: Resource Public Key Infrastructure (RPKI) to Router Protocol |
||
| − | : RFC 8210 |
+ | : [https://tools.ietf.org/html/rfc8210 RFC 8210] |
== 實作 == |
== 實作 == |
||
=== ROA登錄 === |
=== ROA登錄 === |
||
| − | : [https://myrpki.twnic.tw TWNIC RPKI服務管理系統] |
+ | : [https://myrpki.twnic.tw TWNIC RPKI 服務管理系統] |
=== RPKI Validator === |
=== RPKI Validator === |
||
: RTR server 實作 |
: RTR server 實作 |
||
| − | + | * IXP, IX, ISP 可自行建置 |
|
| − | 目前有4套 (1) Routinator, (2) RIPE, (3) OctoRPKI and (4) FORT validators on an Ubuntu Linux system(16.04). |
+ | : 目前有4套 (1) Routinator, (2) RIPE, (3) OctoRPKI and (4) FORT validators on an Ubuntu Linux system(16.04). |
| − | https://blog.apnic.net/2019/10/28/how-to-installing-an-rpki-validator/ |
+ | : 請參考: [https://blog.apnic.net/2019/10/28/how-to-installing-an-rpki-validator/ How to: Installing an RPKI Validator] |
| − | + | * TWNIC 有建置, 並提供公開使用 |
|
| − | * RPKI Validator |
+ | ** RPKI Validator Web 介面: |
| ⚫ | |||
| − | : https://validator.twnic.net.tw/roas |
+ | *: [https://validator.twnic.net.tw/roas RPKI Validator] |
| ⚫ | |||
| − | * Router查詢介面: |
+ | ** Router 查詢介面: |
| − | : 請於支援RPKI的路由器上設定 |
+ | *: 請於支援 RPKI 的路由器上設定 validator,可以讓路由器查詢全世界所設定的 ROA。 |
| + | *: TWNIC目前提供router連線validator的IP位址: |
||
| ⚫ | |||
| + | *:: Validator for Router: 203.119.3.3 port: 323 |
||
| ⚫ | |||
| + | *:: Validator for Router: 182.173.1.1 port: 323 |
||
| ⚫ | |||
| ⚫ | |||
=== RTR client === |
=== RTR client === |
||
* 自行建置 |
* 自行建置 |
||
: 有粉多套, 不想寫...... |
: 有粉多套, 不想寫...... |
||
: 各家 BGP Ruoter 新版韌體應該都會提供. |
: 各家 BGP Ruoter 新版韌體應該都會提供. |
||
| − | * MikroTik RouterOS 7 |
+ | * MikroTik RouterOS 7 |
: 我們家用的 BGP Router |
: 我們家用的 BGP Router |
||
| − | : 在7 |
+ | : 在 7 版有 RTR client 及工具 |
# RTR client |
# RTR client |
||
# validate routes in route filters against a group with "rpki-validate" |
# validate routes in route filters against a group with "rpki-validate" |
||
| 行 41: | 行 51: | ||
/routing/filter/rule add chain=bgp_in match-rpki=invalid action=reject |
/routing/filter/rule add chain=bgp_in match-rpki=invalid action=reject |
||
/routing/filter/rule add chain=bgp_in action=accept |
/routing/filter/rule add chain=bgp_in action=accept |
||
| + | |||
| − | |||
# RPKI tool to check prefix validity |
# RPKI tool to check prefix validity |
||
於 2021年6月4日 (五) 15:43 的最新修訂
網際網路號碼資源公鑰基礎設施
Resource Public Key Infrastructure
說明
什麼是RPKI?
- 網際網路號碼資源公鑰基礎設施 (Resource Public Key Infrastructure, RPKI) 是一個基於公共密鑰基礎建設框架,用於保護網際網路路由基礎建設,特別是在邊界閘道器協定 (Border Gateway Protocol, BGP) 上。
- RPKI 提供了將網際網路號碼資源資訊 (如 IP 地址) 連結到信任錨 (Trust Anchor) 的方法。
- 使用 RPKI,號碼資源的合法持有者能夠掌握網際網路路由協定的運作,以防止路由劫持和其他攻擊。
什麼是ROA?
- 路由來源授權 (Route Origination Authorizations, ROA) 是 BGP 路由通告的證明。
- 它證明來源 AS 號碼被授權的 IP 位址前綴宣告。
- 此證明可以使用 RPKI 進行加密驗證。
什麼是RTR?
- Resource Public Key Infrastructure (RPKI) to Router Protocol
- RFC 8210
實作
ROA登錄
RPKI Validator
- RTR server 實作
- IXP, IX, ISP 可自行建置
- 目前有4套 (1) Routinator, (2) RIPE, (3) OctoRPKI and (4) FORT validators on an Ubuntu Linux system(16.04).
- 請參考: How to: Installing an RPKI Validator
- TWNIC 有建置, 並提供公開使用
- RPKI Validator Web 介面:
- 您可以在這個頁面中查詢您透過 RPKI 服務系統設定的 ROA,確保您的設定正確並成功。
- RPKI Validator
- Router 查詢介面:
- 請於支援 RPKI 的路由器上設定 validator,可以讓路由器查詢全世界所設定的 ROA。
- TWNIC目前提供router連線validator的IP位址:
- Validator for Router: 203.119.3.3 port: 323
- Validator for Router: 182.173.1.1 port: 323
- 有關市面上支援 RPKI 路由器以及路由器如何設定請參考:
- Router Configuration for Resource Certification (RPKI)
RTR client
- 自行建置
- 有粉多套, 不想寫......
- 各家 BGP Ruoter 新版韌體應該都會提供.
- MikroTik RouterOS 7
- 我們家用的 BGP Router
- 在 7 版有 RTR client 及工具
# RTR client # validate routes in route filters against a group with "rpki-validate" # in filters "match-rpki" can be used to match exact state /routing/bgp/rpki add group=TwnicRpkiValidator address=203.119.3.3 port=323 refresh-interval=20 /routing/filter/rule add chain=bgp_in rpki-verify=TwnicRpkiValidator /routing/filter/rule add chain=bgp_in match-rpki=invalid action=reject /routing/filter/rule add chain=bgp_in action=accept
# RPKI tool to check prefix validity /routing rpki-check group=TwnicRpkiValidator prfx=70.132.18.0/24 origin-as=16509