「RPKI」修訂間的差異

出自ChevyneWiki
跳至導覽 跳至搜尋
(建立內容為「Category:BGP」的新頁面)
 
行 1: 行 1:
 
[[Category:BGP]]
  
[[Category:BGP]]
  +
[[Category:RPKI]]
  +
== 說明 ==
  +
=== 什麼是RPKI? ===
  +
資源公鑰基礎建設(Resource Public Key Infrastructure,RPKI)是一個基於公共密鑰基礎建設框架,用於保護網際網路路由基礎建設,特別是在邊界閘道器協定(Border Gateway Protocol,BGP)上。 RPKI提供了將網際網路號碼資源資訊(如IP地址)連結到信任錨(Trust Anchor)的方法。使用RPKI,號碼資源的合法持有者能夠掌握網際網路路由協定的運作,以防止路由劫持和其他攻擊。
  +
=== 什麼是ROA? ===
  +
路由來源授權(Route Origination Authorizations,ROA)是BGP路由通告的證明。它證明來源AS號碼被授權的IP位址前綴宣告。此證明可以使用RPKI進行加密驗證。
  +
=== 什麼是RTR? ===
  +
RFC 8210
  +
Resource Public Key Infrastructure (RPKI) to Router Protocol
  +
== 實作 ==
  +
=== ROA登錄 ===
  +
TWNIC RPKI服務管理系統
  +
https://myrpki.twnic.tw
  +
=== RPKI Validator ===
  +
RTR server 實作
  +
* IXP, IX, ISP 可自行建置
  +
目前有4套 (1) Routinator, (2) RIPE, (3) OctoRPKI and (4) FORT validators on an Ubuntu Linux system(16.04).
  +
https://blog.apnic.net/2019/10/28/how-to-installing-an-rpki-validator/
  +
* TWNIC 有建置, 並提供公開使用
  +
** RPKI Validator web介面:
  +
https://validator.twnic.net.tw/roas
  +
您可以在這個頁面中查詢您透過RPKI服務系統設定的ROA,確保您的設定正確並成功。
  +
  +
** Router查詢介面:
  +
請於支援RPKI的路由器上設定validator的IP位址:203.119.3.3,Validator服務會使用到port: 323,可以讓路由器查詢全世界所設定的ROA。
  +
有關市面上支援RPKI 路由器以及路由器如何設定請參考:
  +
https://www.ripe.net/manage-ips-and-asns/resource-management/certification/router-configuration
  +
  +
* RTR client
  +
** 自行建置
  +
有粉多套, 不想寫......
  +
各家 BGP Ruoter 新版韌體應該都會提供.
  +
  +
** MikroTik RouterOS 7.1
  +
我們家用的BGP Router
  +
在7.1版有 RTR client 及工具
  +
# RTR client
  +
# validate routes in route filters against a group with "rpki-validate"
  +
# in filters "match-rpki" can be used to match exact state
  +
  +
/routing/bgp/rpki add group=TwnicRpkiValidator address=203.119.3.3 port=323 refresh-interval=20
  +
  +
/routing/filter/rule add chain=bgp_in rpki-verify=TwnicRpkiValidator
  +
/routing/filter/rule add chain=bgp_in match-rpki=invalid action=reject
  +
/routing/filter/rule add chain=bgp_in action=accept
  +
  +
# RPKI tool to check prefix validity
  +
  +
/routing rpki-check group=TwnicRpkiValidator prfx=70.132.18.0/24 origin-as=16509

於 2021年1月15日 (五) 15:06 的修訂

說明

什麼是RPKI?

資源公鑰基礎建設(Resource Public Key Infrastructure,RPKI)是一個基於公共密鑰基礎建設框架,用於保護網際網路路由基礎建設,特別是在邊界閘道器協定(Border Gateway Protocol,BGP)上。 RPKI提供了將網際網路號碼資源資訊(如IP地址)連結到信任錨(Trust Anchor)的方法。使用RPKI,號碼資源的合法持有者能夠掌握網際網路路由協定的運作,以防止路由劫持和其他攻擊。

什麼是ROA?

路由來源授權(Route Origination Authorizations,ROA)是BGP路由通告的證明。它證明來源AS號碼被授權的IP位址前綴宣告。此證明可以使用RPKI進行加密驗證。

什麼是RTR?

RFC 8210 Resource Public Key Infrastructure (RPKI) to Router Protocol

實作

ROA登錄

TWNIC RPKI服務管理系統 https://myrpki.twnic.tw

RPKI Validator

RTR server 實作

  • IXP, IX, ISP 可自行建置

目前有4套 (1) Routinator, (2) RIPE, (3) OctoRPKI and (4) FORT validators on an Ubuntu Linux system(16.04). https://blog.apnic.net/2019/10/28/how-to-installing-an-rpki-validator/

  • TWNIC 有建置, 並提供公開使用
    • RPKI Validator web介面:

https://validator.twnic.net.tw/roas 您可以在這個頁面中查詢您透過RPKI服務系統設定的ROA,確保您的設定正確並成功。

    • Router查詢介面:

請於支援RPKI的路由器上設定validator的IP位址:203.119.3.3,Validator服務會使用到port: 323,可以讓路由器查詢全世界所設定的ROA。 有關市面上支援RPKI 路由器以及路由器如何設定請參考: https://www.ripe.net/manage-ips-and-asns/resource-management/certification/router-configuration

  • RTR client
    • 自行建置

有粉多套, 不想寫...... 各家 BGP Ruoter 新版韌體應該都會提供.

    • MikroTik RouterOS 7.1

我們家用的BGP Router 在7.1版有 RTR client 及工具 

# RTR client
# validate routes in route filters against a group with "rpki-validate"
# in filters "match-rpki" can be used to match exact state

/routing/bgp/rpki add group=TwnicRpkiValidator address=203.119.3.3 port=323 refresh-interval=20

/routing/filter/rule add chain=bgp_in rpki-verify=TwnicRpkiValidator
/routing/filter/rule add chain=bgp_in match-rpki=invalid action=reject
/routing/filter/rule add chain=bgp_in action=accept

# RPKI tool to check prefix validity

/routing rpki-check group=TwnicRpkiValidator prfx=70.132.18.0/24 origin-as=16509
取自「https://chevyne.at.tw/w/index.php?title=RPKI&oldid=335