De harapos a RPKI-riches-1. Conexión de validación de ruta en ВGP

¡Hola! Trabajo como ingeniero de redes senior en DataLine, he estado involucrado en redes desde 2009 y he tenido tiempo de observar desde el exterior cómo las empresas fueron atacadas debido a la vulnerabilidad del protocolo de enrutamiento BGP. El secuestro de BGP por sí solo vale la pena: hace un par de años, los piratas informáticos robaron $ 137,000 al interceptar rutas de BGP .

Con la transición al control remoto, las empresas organizan el acceso desde el hogar a través de conexiones seguras utilizando NGFW, IPS / IDS, WAF y otras soluciones. Pero la seguridad de BGP a veces se olvida. En una serie de artículos, le mostraré cómo el cliente de cada proveedor de servicios puede protegerse con RPKI, una herramienta de protección de enrutamiento global en Internet. En el primer artículo, explicaré con un ejemplo cómo funciona y cómo configurar la protección del lado del cliente en un par de clics. En el segundo, compartiré mi experiencia de implementación de RPKI en BGP usando el ejemplo de los routers Cisco. 

Qué es importante saber sobre RPKI y qué tiene que ver el frigorífico con él

RPKI (Resource Public Key Infrastructure) – . , . 

. (), ( ), , - .

. RPKI X.509 PKI, RFC3779. . , , :

:

IANA (Internet Address Number Authority) – . - IANA, IP- . (AS) – IP- , . AS .

RIR (Regional Internet Registry) – -, IANA . 5 – RIPE NCC, ARIN, APNIC, AfriNIC, LACNIC. 

LIR (Local Internet Registry) – -, , -. RIR LIR’, . 

RPKI. , . IANA RIR, – LIR.  

, . RPKI RIR – " ", Trust Anchors.

. , , ROA.

ROA (Route Origin Authorisation) – c , , AS  - .  ROA 3 :

• AS, ;

  
  
  
  
  

• ( IP- : xxx.xxx.xxx.xxx/yy);

  
  
  
  
  

• .

  
  
  
  
  

, AS . , . , .

, ROA :

• VALID – ROA, ROA.  AS AS_PATH AS ROA, ROA, . 

  
  
  
  
  

• INVALID – ROA, ROA.

  
  
  
  
  

• UNKNOWN – , ROA Trust Anchor RIR. , . RPKI, . UNKNOWN .

  
  
  
  
  

. , .../22, AS N.   ROA. Trust Anchor, UNKNOWN.   

ROA c : AS N, .../22, – /23. AS N - /22 /23 , /22 . VALID.   

/24 AS N /22 (/23+/23) AS P, INVALID. , /24 , . , ROA ROA.

:

1. RPKI-. 

   
   
   
   
   

2. - RPKI.

   
   
   
   
   

. - . 

. - RPKI ROA Trust Anchors RSYNC RRDP . RPKI- ROA . ROA, RPKI-RTR. TCP- 8282. .

 

, – -.  AS /24 IP-, eBGP , full view , . , RPKI .

ROA , . 

RIPE NCC :

1. RIPE https://my.ripe.net. Resourses, – RPKI Dashboard. 

   
   
   
   
   

   

   , RIPE EULA.

   
   
   
   
   

   (Certificate Authority, CA):

   
   
   
   
   

   - Hosted – RIPE; 

   
   
   
   
   

   - Non-Hosted – . 

   
   
   
   
   

   Hosted. Non-Hosted XML-, . RIPE NCC XML-, RPKI CA. 

   
   
   
   
   

2. RPKI Dashboard BGP Announncements. Show All.

   
   
   
   
   

   

3. - Origin AS. ROA Create ROAs for selected BGP announcements.

   
   
   
   
   

   

4. , ROA. :

   
   
   
   
   

   

   Publish!

   
   
   
   
   

   

, ! !

PI- RIPE .  Wizard RIPE NCC: https://portal.ripe.net/rpki-enduser.

RPKI. BGP , , , – . 

-,   RPKI. 

, !