RPKI

出自ChevyneWiki
跳至導覽 跳至搜尋

網際網路號碼資源公鑰基礎設施
Resource Public Key Infrastructure

說明

什麼是RPKI?

網際網路號碼資源公鑰基礎設施 (Resource Public Key Infrastructure, RPKI) 是一個基於公共密鑰基礎建設框架,用於保護網際網路路由基礎建設,特別是在邊界閘道器協定 (Border Gateway Protocol, BGP) 上。
RPKI 提供了將網際網路號碼資源資訊 (如 IP 地址) 連結到信任錨 (Trust Anchor) 的方法。
使用 RPKI,號碼資源的合法持有者能夠掌握網際網路路由協定的運作,以防止路由劫持和其他攻擊。

什麼是ROA?

路由來源授權 (Route Origination Authorizations, ROA) 是 BGP 路由通告的證明。
它證明來源 AS 號碼被授權的 IP 位址前綴宣告。
此證明可以使用 RPKI 進行加密驗證。

什麼是RTR?

Resource Public Key Infrastructure (RPKI) to Router Protocol
RFC 8210

實作

ROA登錄

TWNIC RPKI 服務管理系統

RPKI Validator

RTR server 實作
  • IXP, IX, ISP 可自行建置
目前有4套 (1) Routinator, (2) RIPE, (3) OctoRPKI and (4) FORT validators on an Ubuntu Linux system(16.04).
請參考: How to: Installing an RPKI Validator
  • TWNIC 有建置, 並提供公開使用
    • RPKI Validator Web 介面:
    您可以在這個頁面中查詢您透過 RPKI 服務系統設定的 ROA,確保您的設定正確並成功。
    RPKI Validator
    • Router 查詢介面:
    請於支援 RPKI 的路由器上設定 validator,可以讓路由器查詢全世界所設定的 ROA。
    TWNIC目前提供router連線validator的IP位址:
    Validator for Router: 203.119.3.3 port: 323
    Validator for Router: 182.173.1.1 port: 323
    有關市面上支援 RPKI 路由器以及路由器如何設定請參考:
    Router Configuration for Resource Certification (RPKI)

RTR client

  • 自行建置
有粉多套, 不想寫......
各家 BGP Ruoter 新版韌體應該都會提供.
  • MikroTik RouterOS 7
我們家用的 BGP Router
在 7 版有 RTR client 及工具
# RTR client
# validate routes in route filters against a group with "rpki-validate"
# in filters "match-rpki" can be used to match exact state

/routing/bgp/rpki add group=TwnicRpkiValidator address=203.119.3.3 port=323 refresh-interval=20

/routing/filter/rule add chain=bgp_in rpki-verify=TwnicRpkiValidator
/routing/filter/rule add chain=bgp_in match-rpki=invalid action=reject
/routing/filter/rule add chain=bgp_in action=accept
# RPKI tool to check prefix validity

/routing rpki-check group=TwnicRpkiValidator prfx=70.132.18.0/24 origin-as=16509