RPKI

出自ChevyneWiki
於 2021年1月15日 (五) 15:11 由 Chevyne留言 | 貢獻 所做的修訂
跳至導覽 跳至搜尋

說明

什麼是RPKI?

資源公鑰基礎建設(Resource Public Key Infrastructure,RPKI)是一個基於公共密鑰基礎建設框架,用於保護網際網路路由基礎建設,特別是在邊界閘道器協定(Border Gateway Protocol,BGP)上。 RPKI提供了將網際網路號碼資源資訊(如IP地址)連結到信任錨(Trust Anchor)的方法。使用RPKI,號碼資源的合法持有者能夠掌握網際網路路由協定的運作,以防止路由劫持和其他攻擊。

什麼是ROA?

路由來源授權(Route Origination Authorizations,ROA)是BGP路由通告的證明。它證明來源AS號碼被授權的IP位址前綴宣告。此證明可以使用RPKI進行加密驗證。

什麼是RTR?

Resource Public Key Infrastructure (RPKI) to Router Protocol
RFC 8210

實作

ROA登錄

TWNIC RPKI服務管理系統

RPKI Validator

RTR server 實作

IXP, IX, ISP 可自行建置

目前有4套 (1) Routinator, (2) RIPE, (3) OctoRPKI and (4) FORT validators on an Ubuntu Linux system(16.04). https://blog.apnic.net/2019/10/28/how-to-installing-an-rpki-validator/

TWNIC 有建置, 並提供公開使用

  • RPKI Validator web介面:
https://validator.twnic.net.tw/roas
您可以在這個頁面中查詢您透過RPKI服務系統設定的ROA,確保您的設定正確並成功。
  • Router查詢介面:
請於支援RPKI的路由器上設定validator的IP位址:203.119.3.3,Validator服務會使用到port: 323,可以讓路由器查詢全世界所設定的ROA。
有關市面上支援RPKI 路由器以及路由器如何設定請參考:
https://www.ripe.net/manage-ips-and-asns/resource-management/certification/router-configuration

RTR client

  • 自行建置
有粉多套, 不想寫......
各家 BGP Ruoter 新版韌體應該都會提供.
  • MikroTik RouterOS 7.1
我們家用的 BGP Router
在7.1版有 RTR client 及工具
# RTR client
# validate routes in route filters against a group with "rpki-validate"
# in filters "match-rpki" can be used to match exact state

/routing/bgp/rpki add group=TwnicRpkiValidator address=203.119.3.3 port=323 refresh-interval=20

/routing/filter/rule add chain=bgp_in rpki-verify=TwnicRpkiValidator
/routing/filter/rule add chain=bgp_in match-rpki=invalid action=reject
/routing/filter/rule add chain=bgp_in action=accept

# RPKI tool to check prefix validity

/routing rpki-check group=TwnicRpkiValidator prfx=70.132.18.0/24 origin-as=16509
取自「https://chevyne.at.tw/w/index.php?title=RPKI&oldid=339