RPKI

出自ChevyneWiki
於 2021年1月15日 (五) 15:21 由 Chevyne留言 | 貢獻 所做的修訂
跳至導覽 跳至搜尋

說明

什麼是RPKI?

資源公鑰基礎建設 (Resource Public Key Infrastructure, RPKI) 是一個基於公共密鑰基礎建設框架,用於保護網際網路路由基礎建設,特別是在邊界閘道器協定 (Border Gateway Protocol, BGP) 上。
RPKI 提供了將網際網路號碼資源資訊(如IP地址)連結到信任錨(Trust Anchor)的方法。
使用 RPKI,號碼資源的合法持有者能夠掌握網際網路路由協定的運作,以防止路由劫持和其他攻擊。

什麼是ROA?

路由來源授權 (Route Origination Authorizations, ROA) 是 BGP 路由通告的證明。
它證明來源 AS 號碼被授權的 IP 位址前綴宣告。
此證明可以使用 RPKI 進行加密驗證。

什麼是RTR?

Resource Public Key Infrastructure (RPKI) to Router Protocol
RFC 8210

實作

ROA登錄

TWNIC RPKI 服務管理系統

RPKI Validator

RTR server 實作
  • IXP, IX, ISP 可自行建置
目前有4套 (1) Routinator, (2) RIPE, (3) OctoRPKI and (4) FORT validators on an Ubuntu Linux system(16.04).
請參考:
https://blog.apnic.net/2019/10/28/how-to-installing-an-rpki-validator/

RTR client

  • 自行建置
有粉多套, 不想寫......
各家 BGP Ruoter 新版韌體應該都會提供.
  • MikroTik RouterOS 7.1
我們家用的 BGP Router
在 7.1 版有 RTR client 及工具
# RTR client
# validate routes in route filters against a group with "rpki-validate"
# in filters "match-rpki" can be used to match exact state

/routing/bgp/rpki add group=TwnicRpkiValidator address=203.119.3.3 port=323 refresh-interval=20

/routing/filter/rule add chain=bgp_in rpki-verify=TwnicRpkiValidator
/routing/filter/rule add chain=bgp_in match-rpki=invalid action=reject
/routing/filter/rule add chain=bgp_in action=accept
# RPKI tool to check prefix validity

/routing rpki-check group=TwnicRpkiValidator prfx=70.132.18.0/24 origin-as=16509