「RPKI」修訂間的差異

說明

什麼是RPKI？

資源公鑰基礎建設 (Resource Public Key Infrastructure, RPKI) 是一個基於公共密鑰基礎建設框架，用於保護網際網路路由基礎建設，特別是在邊界閘道器協定 (Border Gateway Protocol, BGP) 上。

RPKI 提供了將網際網路號碼資源資訊（如IP地址）連結到信任錨（Trust Anchor）的方法。

使用 RPKI，號碼資源的合法持有者能夠掌握網際網路路由協定的運作，以防止路由劫持和其他攻擊。

什麼是ROA？

路由來源授權 (Route Origination Authorizations, ROA) 是 BGP 路由通告的證明。

它證明來源 AS 號碼被授權的 IP 位址前綴宣告。

此證明可以使用 RPKI 進行加密驗證。

什麼是RTR？

Resource Public Key Infrastructure (RPKI) to Router Protocol

RFC 8210

實作

ROA登錄

TWNIC RPKI 服務管理系統

RPKI Validator

RTR server 實作

• IXP, IX, ISP 可自行建置

目前有4套 (1) Routinator, (2) RIPE, (3) OctoRPKI and (4) FORT validators on an Ubuntu Linux system(16.04).

請參考:

How to: Installing an RPKI Validator

• TWNIC 有建置, 並提供公開使用
  • RPKI Validator web 介面:

  https://validator.twnic.net.tw/roas

  您可以在這個頁面中查詢您透過 RPKI 服務系統設定的 ROA，確保您的設定正確並成功。

  • Router 查詢介面:

  請於支援 RPKI 的路由器上設定 validator 的 IP 位址: 203.119.3.3，Validator 服務會使用到port: 323，可以讓路由器查詢全世界所設定的 ROA。

  有關市面上支援 RPKI 路由器以及路由器如何設定請參考:

  https://www.ripe.net/manage-ips-and-asns/resource-management/certification/router-configuration

RTR client

• 自行建置

有粉多套, 不想寫......

各家 BGP Ruoter 新版韌體應該都會提供.

• MikroTik RouterOS 7.1

我們家用的 BGP Router

在 7.1 版有 RTR client 及工具

# RTR client
# validate routes in route filters against a group with "rpki-validate"
# in filters "match-rpki" can be used to match exact state

/routing/bgp/rpki add group=TwnicRpkiValidator address=203.119.3.3 port=323 refresh-interval=20

/routing/filter/rule add chain=bgp_in rpki-verify=TwnicRpkiValidator
/routing/filter/rule add chain=bgp_in match-rpki=invalid action=reject
/routing/filter/rule add chain=bgp_in action=accept

# RPKI tool to check prefix validity

/routing rpki-check group=TwnicRpkiValidator prfx=70.132.18.0/24 origin-as=16509