Ana içeriğe geç

RPKI and BGP Route Origin Validation

Şu dilde de mevcut:

العربيّة

Azərbaycan dili

Български

Català

Čeština

Dansk

Deutsch

Ελληνικά

English

Esperante

Español

Eesti

Euskara

فارسی

Suomi

Français

Galego

עברית

हिन्दी

Magyarul

Bahasa Indonesia

Italiano

日本語

한국어

Lietuvių

norsk

Nederlands

Polski

Português

Русский

Slovenčina

Slovenščina

Shqip

Svenska

ภาษาไทย

Українська

اردو

Tiếng Việt

简体中文

繁體中文

RPKI ve BGP Route Origin Validation

Kaynak Toplu Anahtar Altyapısı rotayı nasıl engellemektedir - ROA güven zincirini, geçerliliği eyaletlerini, RTR protokolüni ve bugün nerede dağıtım duruyor.

1. Neden BGP Yerli Kökeni Geçerliliği Var

BGP, tüm katılımcıların güvenildiği bir kooperatif internet için tasarlanmıştır. Bir yönlendirici, UPDATE mesajı kabul eder ve ortaya çıkan AS'nın aslında bu IP eklerini duyurması için kriptografi doğrulamadığı sonucuna varır. Bu, herhangi bir AS anlamına gelir - yanlış yapılandırma veya malce aracılığıyla - başkasının eklerini duyurabilir ve bu duyuru küresel olarak birkaç dakika içinde yayılabilir.

Hızlanan RPKI'nin kabul ettiği olası olaylar:

  • 2008 – Pakistan Telecom:
  • 2010 – China Telecom:
  • 2018 – Amazon 53 DNS kaçırıyor:
  • 2019 – Avrupa trafiği Çin Telecom tarafından yeniden yönlendirildi:

2. RPKI Trust Hierarchy

RPKI ()X.509 sertifikasının bir hiyerarşisi, IP adresi uzayının nasıl delege olduğunu yansıtıyor:

  1. IANA
  2. RIRs
  3. Üye ÜyeleriYol Origin Authorizations

Verifiers, bu imzalanmış nesne hiyerarşisini beş RIR repositories (plus any delegated repositories), sertifika zincirini doğruladı ve doğrulamalı bir ROA ödeme yükü (VRP) masası inşa etti. Daha sonra yerel bir RPKI önbelleği sorgulayın (Bu masayı almak ve gelen BGP UPDATE'lerde kaynak doğrulama yapmak.

3. Route Origin Authorizations (ROAs)

Bir ROA (A)) üç alan içeren imzalanmış bir nesnedir:

  • ASN
  • Prefix
  • maxLength
maxLength, ortak bir yanlış yapılandırma vektörüdür.

Tek bir ROA aynı ASN için birden çok eki yazar, ancak bir ROA tek bir ön ek için birden fazla ASN'i yazar. Bir ikincil ASN (e.g., bir transit sağlayıcı veya CDN) önceden belirtilmesine izin vermek için, bu ASN için ayrı bir ROA oluşturun.

4. Geçerlilik Devletler

Bir yönlendirici BGP UPDATE aldığında, kökenini geçerli kılar (Yerel VRP masasına karşı:

Devlet Devleti Durum Tipik Local-Preference tedavi
Geçerli Geçerli Geçerli Geçerli Geçerli Geçerli Geçerli Geçerli En azından bir ROA ön eki kapsar (prefix the ROA prefix VE ek uzunluk ≤ maxLength) ve ROA'nın ASN BGP UPDATE'nin kökeni ASN +20 veya tercih (common)
Invalid En azından bir ROA ön eki kapsar, ancak ROA'yı kapsayan bir eşleşen ASN ve maxLength ≥ açık uzunlukta belirtilen ön uzunluğu kapsar. Yerel-pref 0 veya damla (operator seçimi; RFC 6811 izin veriyor ama işaret)
NotFound Hiçbir ROA, ilan edilen ekileri kapsar Unchanged (RPKI'dan önce olduğu gibi)

Anahtar anlayışı: Bir problemin daha güçlü kanıtları, bir problemden daha güçlüdür NotFound sadece ek sahibinin henüz bir ROA yaratmadığı anlamına gelir. Invalid, bir ROA'nın bu ASN'in olduğunu söylediği anlamına gelir yetkili - yanlış yapılandırma veya hijack güçlü bir sinyal.

5. RTR Protokolü

Yönlendiriciler X.509 sertifika zincirlerini kendileri doğrulamaz - bu tam bir RPKI önbelleği tutmalıdır. Bunun yerine, adanmış (Routinator, OctoRPKI, Fort, rpki-client) indirmeleri ve tam RPKI repository ve ihracat sadece RTR protokolü aracılığıyla yönlendiriciler için geçerli olan ROA Payloads (VRPs) onaylar.).

RTR, TCP (IANA-assigned port 323; Routinator varsayılan port 3323'ü, kök ayrıcalıklarını talep etmekten kaçınmak için port 3323'ü limana atamak için geçerli olan port 323'ü kullanır: Geçerliatör seri numaraları gönderir ve yönlendiriciler yalnızca son senkronizelerini gönderir. Bu, büyük VRP masaları için bile bant genişliği düşük tutar (şu anda 400,000+ IPv4 global girişleri.

6. Deployment and Statistics

2026 başlarında RPKI dağıtım önemli ölçüde ulaştı:

  • Küresel rotada% 50'den fazla IPv4 ön ekleri en az ROA'yı kapsar ( 2019'da% 10).
  • Tier-1 ve Tier-2 ISS'lerin çoğu şimdi rota Origin Validasyonunu gerçekleştiriyor ve invalid rotalarını iptal ediyor.
  • MANRS (Mutually Agreed Norms for Routing Security) RPKI ROA oluşturma, üyelik için ön koşul olarak ve per-AS uygun bir paniğe yayınlar.

Canlı istatistikler: , , .

7. ROV'nin Ötesinde: ASPA and BGPsec

RPKI Route Origin Validation sadece bunu doğruluyor Prefix'i duyurmaya yetkilidir. AS PATH'yi doğrulamaz - bir saldırgan hala sonunda meşru bir AS PATH inşa edebilir. İki IETF standartları bunu ele alıyor:

Referanslar Referanslar