「RPKI」修訂間的差異

於 2021年1月15日 (五) 15:21 的修訂

說明

什麼是RPKI？

資源公鑰基礎建設 (Resource Public Key Infrastructure, RPKI) 是一個基於公共密鑰基礎建設框架，用於保護網際網路路由基礎建設，特別是在邊界閘道器協定 (Border Gateway Protocol, BGP) 上。

RPKI 提供了將網際網路號碼資源資訊（如IP地址）連結到信任錨（Trust Anchor）的方法。

使用 RPKI，號碼資源的合法持有者能夠掌握網際網路路由協定的運作，以防止路由劫持和其他攻擊。

什麼是ROA？

路由來源授權 (Route Origination Authorizations, ROA) 是 BGP 路由通告的證明。

它證明來源 AS 號碼被授權的 IP 位址前綴宣告。

此證明可以使用 RPKI 進行加密驗證。

什麼是RTR？

Resource Public Key Infrastructure (RPKI) to Router Protocol

RFC 8210

實作

ROA登錄

TWNIC RPKI 服務管理系統

RPKI Validator

RTR server 實作

IXP, IX, ISP 可自行建置

目前有4套 (1) Routinator, (2) RIPE, (3) OctoRPKI and (4) FORT validators on an Ubuntu Linux system(16.04).

請參考:

https://blog.apnic.net/2019/10/28/how-to-installing-an-rpki-validator/

TWNIC 有建置, 並提供公開使用
- RPKI Validator web 介面:
https://validator.twnic.net.tw/roas

您可以在這個頁面中查詢您透過 RPKI 服務系統設定的 ROA，確保您的設定正確並成功。
- Router 查詢介面:
請於支援 RPKI 的路由器上設定 validator 的 IP 位址: 203.119.3.3，Validator 服務會使用到port: 323，可以讓路由器查詢全世界所設定的 ROA。

有關市面上支援 RPKI 路由器以及路由器如何設定請參考:

https://www.ripe.net/manage-ips-and-asns/resource-management/certification/router-configuration

RTR client

自行建置

有粉多套, 不想寫......

各家 BGP Ruoter 新版韌體應該都會提供.

MikroTik RouterOS 7.1

我們家用的 BGP Router

在 7.1 版有 RTR client 及工具

# RTR client
# validate routes in route filters against a group with "rpki-validate"
# in filters "match-rpki" can be used to match exact state

/routing/bgp/rpki add group=TwnicRpkiValidator address=203.119.3.3 port=323 refresh-interval=20

/routing/filter/rule add chain=bgp_in rpki-verify=TwnicRpkiValidator
/routing/filter/rule add chain=bgp_in match-rpki=invalid action=reject
/routing/filter/rule add chain=bgp_in action=accept

# RPKI tool to check prefix validity

/routing rpki-check group=TwnicRpkiValidator prfx=70.132.18.0/24 origin-as=16509

@@ 行 3： / 行 3： @@
 == 說明 ==
 === 什麼是RPKI？ ===
-: 資源公鑰基礎建設（Resource Public Key Infrastructure，RPKI）是一個基於公共密鑰基礎建設框架，用於保護網際網路路由基礎建設，特別是在邊界閘道器協定（Border Gateway Protocol，BGP）上。 RPKI提供了將網際網路號碼資源資訊（如IP地址）連結到信任錨（Trust Anchor）的方法。使用RPKI，號碼資源的合法持有者能夠掌握網際網路路由協定的運作，以防止路由劫持和其他攻擊。
+: 資源公鑰基礎建設 (Resource Public Key Infrastructure, RPKI) 是一個基於公共密鑰基礎建設框架，用於保護網際網路路由基礎建設，特別是在邊界閘道器協定 (Border Gateway Protocol, BGP) 上。
+: RPKI 提供了將網際網路號碼資源資訊（如IP地址）連結到信任錨（Trust Anchor）的方法。
+: 使用 RPKI，號碼資源的合法持有者能夠掌握網際網路路由協定的運作，以防止路由劫持和其他攻擊。
 === 什麼是ROA？ ===
-: 路由來源授權（Route Origination Authorizations，ROA）是BGP路由通告的證明。它證明來源AS號碼被授權的IP位址前綴宣告。此證明可以使用RPKI進行加密驗證。
+: 路由來源授權 (Route Origination Authorizations, ROA) 是 BGP 路由通告的證明。
+: 它證明來源 AS 號碼被授權的 IP 位址前綴宣告。
+: 此證明可以使用 RPKI 進行加密驗證。
 === 什麼是RTR？ ===
 : Resource Public Key Infrastructure (RPKI) to Router Protocol
@@ 行 11： / 行 15： @@
 == 實作 ==
 === ROA登錄 ===
-: [https://myrpki.twnic.tw TWNIC RPKI服務管理系統]
+: [https://myrpki.twnic.tw TWNIC RPKI 服務管理系統]
 === RPKI Validator ===
 : RTR server 實作
@@ 行 19： / 行 23： @@
 : https://blog.apnic.net/2019/10/28/how-to-installing-an-rpki-validator/
 * TWNIC 有建置, 並提供公開使用
-** RPKI Validator web介面:
+** RPKI Validator web 介面:
 *: https://validator.twnic.net.tw/roas
-*: 您可以在這個頁面中查詢您透過RPKI服務系統設定的ROA，確保您的設定正確並成功。
+*: 您可以在這個頁面中查詢您透過 RPKI 服務系統設定的 ROA，確保您的設定正確並成功。
-** Router查詢介面:
+** Router 查詢介面:
-*: 請於支援RPKI的路由器上設定validator的IP位址:203.119.3.3，Validator服務會使用到port: 323，可以讓路由器查詢全世界所設定的ROA。
+*: 請於支援 RPKI 的路由器上設定 validator 的 IP 位址: 203.119.3.3，Validator 服務會使用到port: 323，可以讓路由器查詢全世界所設定的 ROA。
-*: 有關市面上支援RPKI 路由器以及路由器如何設定請參考:
+*: 有關市面上支援 RPKI 路由器以及路由器如何設定請參考:
 *: https://www.ripe.net/manage-ips-and-asns/resource-management/certification/router-configuration
 === RTR client ===
@@ 行 32： / 行 36： @@
 * MikroTik RouterOS 7.1
 : 我們家用的 BGP Router
-: 在7.1版有 RTR client 及工具
+: 在 7.1 版有 RTR client 及工具
  # RTR client
  # validate routes in route filters against a group with "rpki-validate"
@@ 行 42： / 行 46： @@
  /routing/filter/rule add chain=bgp_in match-rpki=invalid action=reject
  /routing/filter/rule add chain=bgp_in action=accept
  # RPKI tool to check prefix validity