「RPKI」修訂間的差異
跳至導覽
跳至搜尋
| 行 14: | 行 14: | ||
=== RPKI Validator === |
=== RPKI Validator === |
||
: RTR server 實作 |
: RTR server 實作 |
||
| − | + | * IXP, IX, ISP 可自行建置 |
|
| − | 目前有4套 (1) Routinator, (2) RIPE, (3) OctoRPKI and (4) FORT validators on an Ubuntu Linux system(16.04). |
+ | : 目前有4套 (1) Routinator, (2) RIPE, (3) OctoRPKI and (4) FORT validators on an Ubuntu Linux system(16.04). |
| + | : 請參考: |
||
| − | https://blog.apnic.net/2019/10/28/how-to-installing-an-rpki-validator/ |
+ | : https://blog.apnic.net/2019/10/28/how-to-installing-an-rpki-validator/ |
| − | + | * TWNIC 有建置, 並提供公開使用 |
|
| − | * RPKI Validator web介面: |
+ | ** RPKI Validator web介面: |
| − | : https://validator.twnic.net.tw/roas |
+ | *: https://validator.twnic.net.tw/roas |
| − | : 您可以在這個頁面中查詢您透過RPKI服務系統設定的ROA,確保您的設定正確並成功。 |
+ | *: 您可以在這個頁面中查詢您透過RPKI服務系統設定的ROA,確保您的設定正確並成功。 |
| − | * Router查詢介面: |
+ | ** Router查詢介面: |
| − | : 請於支援RPKI的路由器上設定validator的IP位址:203.119.3.3,Validator服務會使用到port: 323,可以讓路由器查詢全世界所設定的ROA。 |
||
| − | : |
+ | *: 請於支援RPKI的路由器上設定validator的IP位址:203.119.3.3,Validator服務會使用到port: 323,可以讓路由器查詢全世界所設定的ROA。 |
| + | *: 有關市面上支援RPKI 路由器以及路由器如何設定請參考: |
||
| − | : https://www.ripe.net/manage-ips-and-asns/resource-management/certification/router-configuration |
+ | *: https://www.ripe.net/manage-ips-and-asns/resource-management/certification/router-configuration |
=== RTR client === |
=== RTR client === |
||
* 自行建置 |
* 自行建置 |
||
於 2021年1月15日 (五) 15:15 的修訂
說明
什麼是RPKI?
- 資源公鑰基礎建設(Resource Public Key Infrastructure,RPKI)是一個基於公共密鑰基礎建設框架,用於保護網際網路路由基礎建設,特別是在邊界閘道器協定(Border Gateway Protocol,BGP)上。 RPKI提供了將網際網路號碼資源資訊(如IP地址)連結到信任錨(Trust Anchor)的方法。使用RPKI,號碼資源的合法持有者能夠掌握網際網路路由協定的運作,以防止路由劫持和其他攻擊。
什麼是ROA?
- 路由來源授權(Route Origination Authorizations,ROA)是BGP路由通告的證明。它證明來源AS號碼被授權的IP位址前綴宣告。此證明可以使用RPKI進行加密驗證。
什麼是RTR?
- Resource Public Key Infrastructure (RPKI) to Router Protocol
- RFC 8210
實作
ROA登錄
RPKI Validator
- RTR server 實作
- IXP, IX, ISP 可自行建置
- 目前有4套 (1) Routinator, (2) RIPE, (3) OctoRPKI and (4) FORT validators on an Ubuntu Linux system(16.04).
- 請參考:
- https://blog.apnic.net/2019/10/28/how-to-installing-an-rpki-validator/
- TWNIC 有建置, 並提供公開使用
- RPKI Validator web介面:
- https://validator.twnic.net.tw/roas
- 您可以在這個頁面中查詢您透過RPKI服務系統設定的ROA,確保您的設定正確並成功。
- Router查詢介面:
- 請於支援RPKI的路由器上設定validator的IP位址:203.119.3.3,Validator服務會使用到port: 323,可以讓路由器查詢全世界所設定的ROA。
- 有關市面上支援RPKI 路由器以及路由器如何設定請參考:
- https://www.ripe.net/manage-ips-and-asns/resource-management/certification/router-configuration
RTR client
- 自行建置
- 有粉多套, 不想寫......
- 各家 BGP Ruoter 新版韌體應該都會提供.
- MikroTik RouterOS 7.1
- 我們家用的 BGP Router
- 在7.1版有 RTR client 及工具
# RTR client # validate routes in route filters against a group with "rpki-validate" # in filters "match-rpki" can be used to match exact state /routing/bgp/rpki add group=TwnicRpkiValidator address=203.119.3.3 port=323 refresh-interval=20 /routing/filter/rule add chain=bgp_in rpki-verify=TwnicRpkiValidator /routing/filter/rule add chain=bgp_in match-rpki=invalid action=reject /routing/filter/rule add chain=bgp_in action=accept # RPKI tool to check prefix validity /routing rpki-check group=TwnicRpkiValidator prfx=70.132.18.0/24 origin-as=16509