RPKI
跳至導覽
跳至搜尋
說明
什麼是RPKI?
- 資源公鑰基礎建設 (Resource Public Key Infrastructure, RPKI) 是一個基於公共密鑰基礎建設框架,用於保護網際網路路由基礎建設,特別是在邊界閘道器協定 (Border Gateway Protocol, BGP) 上。
- RPKI 提供了將網際網路號碼資源資訊(如IP地址)連結到信任錨(Trust Anchor)的方法。
- 使用 RPKI,號碼資源的合法持有者能夠掌握網際網路路由協定的運作,以防止路由劫持和其他攻擊。
什麼是ROA?
- 路由來源授權 (Route Origination Authorizations, ROA) 是 BGP 路由通告的證明。
- 它證明來源 AS 號碼被授權的 IP 位址前綴宣告。
- 此證明可以使用 RPKI 進行加密驗證。
什麼是RTR?
- Resource Public Key Infrastructure (RPKI) to Router Protocol
- RFC 8210
實作
ROA登錄
RPKI Validator
- RTR server 實作
- IXP, IX, ISP 可自行建置
- 目前有4套 (1) Routinator, (2) RIPE, (3) OctoRPKI and (4) FORT validators on an Ubuntu Linux system(16.04).
- 請參考:
- How to: Installing an RPKI Validator
- TWNIC 有建置, 並提供公開使用
- RPKI Validator web 介面:
- https://validator.twnic.net.tw/roas
- 您可以在這個頁面中查詢您透過 RPKI 服務系統設定的 ROA,確保您的設定正確並成功。
- Router 查詢介面:
- 請於支援 RPKI 的路由器上設定 validator 的 IP 位址: 203.119.3.3,Validator 服務會使用到port: 323,可以讓路由器查詢全世界所設定的 ROA。
- 有關市面上支援 RPKI 路由器以及路由器如何設定請參考:
- https://www.ripe.net/manage-ips-and-asns/resource-management/certification/router-configuration
RTR client
- 自行建置
- 有粉多套, 不想寫......
- 各家 BGP Ruoter 新版韌體應該都會提供.
- MikroTik RouterOS 7.1
- 我們家用的 BGP Router
- 在 7.1 版有 RTR client 及工具
# RTR client # validate routes in route filters against a group with "rpki-validate" # in filters "match-rpki" can be used to match exact state /routing/bgp/rpki add group=TwnicRpkiValidator address=203.119.3.3 port=323 refresh-interval=20 /routing/filter/rule add chain=bgp_in rpki-verify=TwnicRpkiValidator /routing/filter/rule add chain=bgp_in match-rpki=invalid action=reject /routing/filter/rule add chain=bgp_in action=accept
# RPKI tool to check prefix validity /routing rpki-check group=TwnicRpkiValidator prfx=70.132.18.0/24 origin-as=16509