Otse peamise sisu juurde

RPKI and BGP Route Origin Validation

Saadaval ka:

العربيّة

Azərbaycan dili

Български

Català

Čeština

Dansk

Deutsch

Ελληνικά

English

Esperante

Español

Euskara

فارسی

Suomi

Français

Galego

עברית

हिन्दी

Magyarul

Bahasa Indonesia

Italiano

日本語

한국어

Lietuvių

norsk

Nederlands

Polski

Português

Русский

Slovenčina

Slovenščina

Shqip

Svenska

ภาษาไทย

Türkçe

Українська

اردو

Tiếng Việt

简体中文

繁體中文

RPKI ja BGP marsruudi päritolu valideerimine

Kuidas ressursside avaliku võtme infrastruktuur takistab marsruudi kaaperdamist – hõlmab ROA usaldusahelat, valideerimisseisundeid, RTR-protokolli ja seda, kus kasutuselevõtt praegu on.

1 Miks BGP-l ei ole põlispäritolu valideerimist

BGP oli mõeldud koostööks internetiga, kus usaldati kõiki osalejaid. Ruuter aktsepteerib UPDATE-sõnumit ja levitab seda ilma krüptograafilise kontrollita, et pärinev AS on tegelikult volitatud neid IP-eesliideid välja kuulutama. See tähendab, et mis tahes AS - läbi valesti seadistamise või pahatahtlikkuse - võib teatada kellegi teise eesliited ja see teade võib levida kogu maailmas mõne minuti jooksul.

Märkimisväärsed juhtumid, mis kiirendasid RPKI vastuvõtmist:

  • 2008 – Pakistan Telecom:
  • 2010 – China Telecom:
  • 2018 – Amazon Route 53 DNS kaaperdamine:
  • 2019 – Euroopa lennuliiklus suunati ümber China Telecomi kaudu:

2. RPKI usaldushierarhia

RPKI* loob X.509 sertifikaatide hierarhia, mis peegeldab IP-aadressi ruumi delegeerimist:

  1. IANA
  2. RIRs
  3. LiikmedMarsruudi algupära autentimine

Tõendajad laadivad selle allkirjastatud objektihierarhia alla viiest RIR-hoidlast (pluss mis tahes delegeeritud hoidlatest), valideerivad sertifikaadiahela ja loovad valideeritud ROA kasuliku koormuse (VRP) tabeli. Ruuterid pärivad seejärel kohaliku RPKI vahemälu kaudu (()Selle tabeli hankimine ja päritolu valideerimine sissetulevatel BGP UPDATE-del.

3. Marsruudi päritolu autoriseeringud

ROA) on allkirjastatud objekt, mis sisaldab kolme välja:

  • ASN
  • Prefiks
  • maxLength
MaxLength on tavaline valesti seadistamise vektor.

Üks ROA võib lubada sama ASN-i jaoks mitut eesliidet, kuid üks ROA ei saa lubada mitut ASN-i ühe eesliide jaoks. Et võimaldada teisene ASN (nt transiidi pakkuja või CDN) käivitada oma prefiks, luua eraldi ROA selle ASN.

4. Valideerimisriigid

Kui ruuter saab BGP UPDATE, teostab ta päritolu valideerimise ({{commentsTotal}})) kohaliku VRP tabeli suhtes:

osariik Seisund Tüüpiline koht-eelistusravi
Kehtiv Vähemalt üks ROA katab eesliidet (eesliide ⊆ ROA eesliide JA eesliide-pikkus ≤ maxLength) JA ROA ASN vastab BGP UPDATE päritolule ASN +20 või eelistatud (sage)
Vigane Vähemalt üks ROA katab eesliite, kuid ühelgi kattev ROA-l ei ole vastavat ASN-i ja maxLength ≥ teatatud eesliite pikkus Määra lokaalne pref 0 või drop (operaatori valik; RFC 6811 soovitab lubada aga märgistamist)
NotFound Väljakuulutatud eesliidet ei hõlma ükski ROA Muutumata (käsitletud nagu enne RPKI eksisteerimist)

Põhiline ülevaade: See on tugevam tõend probleemist kui NotFound tähendab lihtsalt, et eesliite omanik pole veel ROA-d loonud. Vigane tähendab, et ROA on olemas, öeldes, et see ASN on Volitatud – tugev signaal kas valesti seadistamisest või kaaperdamisest.

5. RTR-protokoll

Ruuterid ei valideeri X.509 sertifikaadikette ise - see oleks arvutuslikult kallis ja nõuaks täieliku RPKI vahemälu säilitamist. Selle asemel pühendatud (Routinator, OctoRPKI, Fort, rpki-klient) laadib alla ja valideerib kogu RPKI hoidla ja ekspordib RTR-protokolli kaudu ruuteritele ainult saadud valideeritud ROA Payloads (VRPs).).

RTR kasutab TCP-d (IANA-ga määratud port 323; valideerijad, nagu ruuteri vaikeport 3323, et vältida juurõiguste nõudmist) astmelise sünkroonimismehhanismiga: valideerija saadab seerianumbrid ja ruuterid nõuavad ainult deltat alates nende viimasest sünkroonist. See hoiab ribalaiust madalal isegi suurte VRP tabelite puhul (praegu ~ 400 000+) IPv4 kirjed globaalselt.

6. Kasutuselevõtt ja statistika

Alates 2026. aasta algusest on RPKI kasutuselevõtt saavutanud märkimisväärse ulatuse:

  • Üle 50% ülemaailmselt marsruuditud IPv4 eesliidetest on vähemalt üks kattev ROA (kuni ~10% 2019. aastal).
  • Enamik Tier-1 ja Tier-2 ISP-dest teostab nüüd Route Origini valideerimist ja loobub või kaotab invaliidide marsruudid.
  • MANRS (Mutually Agreed Norms for Routing Security) nõuab RPKI ROA loomist liikmelisuse eeltingimusena ja avaldab AS-i nõuetele vastavuse armatuurlaua.

Otsestatistika: , , .

7. Beyond ROV: ASPA ja BGPsec

RPKI Route Origin Validation ainult kontrollib, et on volitatud prefiksi teatavaks tegema. See ei kinnita AS PATH-i - ründaja võib lõpuks ikkagi luua vale AS PATH-i, millel on õigustatud päritolu AS. Seda käsitlevad kaks IETFi standardit:

Viited