「RPKI」修訂間的差異
跳至導覽
跳至搜尋
| (未顯示同一使用者於中間所作的 4 次修訂) | |||
| 行 2: | 行 2: | ||
[[Category:BGP]] |
[[Category:BGP]] |
||
[[Category:RPKI]] |
[[Category:RPKI]] |
||
| − | '''網際網路號碼 |
+ | '''網際網路號碼資源公鑰基礎設施'''<br /> |
'''Resource Public Key Infrastructure''' |
'''Resource Public Key Infrastructure''' |
||
== 說明 == |
== 說明 == |
||
=== 什麼是RPKI? === |
=== 什麼是RPKI? === |
||
| − | : 網際網路號碼 |
+ | : 網際網路號碼資源公鑰基礎設施 (Resource Public Key Infrastructure, RPKI) 是一個基於公共密鑰基礎建設框架,用於保護網際網路路由基礎建設,特別是在邊界閘道器協定 (Border Gateway Protocol, BGP) 上。 |
: RPKI 提供了將網際網路號碼資源資訊 (如 IP 地址) 連結到信任錨 (Trust Anchor) 的方法。 |
: RPKI 提供了將網際網路號碼資源資訊 (如 IP 地址) 連結到信任錨 (Trust Anchor) 的方法。 |
||
: 使用 RPKI,號碼資源的合法持有者能夠掌握網際網路路由協定的運作,以防止路由劫持和其他攻擊。 |
: 使用 RPKI,號碼資源的合法持有者能夠掌握網際網路路由協定的運作,以防止路由劫持和其他攻擊。 |
||
| 行 29: | 行 29: | ||
*: [https://validator.twnic.net.tw/roas RPKI Validator] |
*: [https://validator.twnic.net.tw/roas RPKI Validator] |
||
** Router 查詢介面: |
** Router 查詢介面: |
||
| − | *: 請於支援 RPKI 的路由器上設定 |
+ | *: 請於支援 RPKI 的路由器上設定 validator,可以讓路由器查詢全世界所設定的 ROA。 |
| + | *: TWNIC目前提供router連線validator的IP位址: |
||
| + | *:: Validator for Router: 203.119.3.3 port: 323 |
||
| + | *:: Validator for Router: 182.173.1.1 port: 323 |
||
*: 有關市面上支援 RPKI 路由器以及路由器如何設定請參考: |
*: 有關市面上支援 RPKI 路由器以及路由器如何設定請參考: |
||
*: [https://www.ripe.net/manage-ips-and-asns/resource-management/certification/router-configuration Router Configuration for Resource Certification (RPKI)] |
*: [https://www.ripe.net/manage-ips-and-asns/resource-management/certification/router-configuration Router Configuration for Resource Certification (RPKI)] |
||
| 行 36: | 行 39: | ||
: 有粉多套, 不想寫...... |
: 有粉多套, 不想寫...... |
||
: 各家 BGP Ruoter 新版韌體應該都會提供. |
: 各家 BGP Ruoter 新版韌體應該都會提供. |
||
| − | * MikroTik RouterOS 7 |
+ | * MikroTik RouterOS 7 |
: 我們家用的 BGP Router |
: 我們家用的 BGP Router |
||
| − | : 在 7 |
+ | : 在 7 版有 RTR client 及工具 |
# RTR client |
# RTR client |
||
# validate routes in route filters against a group with "rpki-validate" |
# validate routes in route filters against a group with "rpki-validate" |
||
於 2021年6月4日 (五) 15:43 的最新修訂
網際網路號碼資源公鑰基礎設施
Resource Public Key Infrastructure
說明
什麼是RPKI?
- 網際網路號碼資源公鑰基礎設施 (Resource Public Key Infrastructure, RPKI) 是一個基於公共密鑰基礎建設框架,用於保護網際網路路由基礎建設,特別是在邊界閘道器協定 (Border Gateway Protocol, BGP) 上。
- RPKI 提供了將網際網路號碼資源資訊 (如 IP 地址) 連結到信任錨 (Trust Anchor) 的方法。
- 使用 RPKI,號碼資源的合法持有者能夠掌握網際網路路由協定的運作,以防止路由劫持和其他攻擊。
什麼是ROA?
- 路由來源授權 (Route Origination Authorizations, ROA) 是 BGP 路由通告的證明。
- 它證明來源 AS 號碼被授權的 IP 位址前綴宣告。
- 此證明可以使用 RPKI 進行加密驗證。
什麼是RTR?
- Resource Public Key Infrastructure (RPKI) to Router Protocol
- RFC 8210
實作
ROA登錄
RPKI Validator
- RTR server 實作
- IXP, IX, ISP 可自行建置
- 目前有4套 (1) Routinator, (2) RIPE, (3) OctoRPKI and (4) FORT validators on an Ubuntu Linux system(16.04).
- 請參考: How to: Installing an RPKI Validator
- TWNIC 有建置, 並提供公開使用
- RPKI Validator Web 介面:
- 您可以在這個頁面中查詢您透過 RPKI 服務系統設定的 ROA,確保您的設定正確並成功。
- RPKI Validator
- Router 查詢介面:
- 請於支援 RPKI 的路由器上設定 validator,可以讓路由器查詢全世界所設定的 ROA。
- TWNIC目前提供router連線validator的IP位址:
- Validator for Router: 203.119.3.3 port: 323
- Validator for Router: 182.173.1.1 port: 323
- 有關市面上支援 RPKI 路由器以及路由器如何設定請參考:
- Router Configuration for Resource Certification (RPKI)
RTR client
- 自行建置
- 有粉多套, 不想寫......
- 各家 BGP Ruoter 新版韌體應該都會提供.
- MikroTik RouterOS 7
- 我們家用的 BGP Router
- 在 7 版有 RTR client 及工具
# RTR client # validate routes in route filters against a group with "rpki-validate" # in filters "match-rpki" can be used to match exact state /routing/bgp/rpki add group=TwnicRpkiValidator address=203.119.3.3 port=323 refresh-interval=20 /routing/filter/rule add chain=bgp_in rpki-verify=TwnicRpkiValidator /routing/filter/rule add chain=bgp_in match-rpki=invalid action=reject /routing/filter/rule add chain=bgp_in action=accept
# RPKI tool to check prefix validity /routing rpki-check group=TwnicRpkiValidator prfx=70.132.18.0/24 origin-as=16509