Инфраструктура открытого ключа ресурса

Ресурсный Public Key Infrastructure ( RPKI ), также известный как сертификации ресурсов , является специализированным инфраструктура открытого ключа рамки (PKI) для поддержки более высокий уровень безопасности для Интернета «s BGP маршрутизации инфраструктуры.

RPKI предоставляет способ связать информацию о ресурсах номеров Интернета (например, номера автономных систем и IP-адреса ) с якорем доверия . Структура сертификата отражает способ распределения номерных ресурсов Интернета . То есть ресурсы первоначально распределяются IANA среди региональных интернет-реестров (RIR), которые, в свою очередь, распределяют их по местным интернет-реестрам (LIR), которые затем распределяют ресурсы среди своих клиентов. RPKI может использоваться законными владельцами ресурсов для управления работой протоколов Интернет- маршрутизации и предотвращения перехвата маршрута.и другие атаки. В частности, RPKI используется для защиты протокола пограничного шлюза (BGP) с помощью проверки происхождения маршрута (ROV) BGP, а также протокола обнаружения соседей (ND) для IPv6 через протокол обнаружения безопасного соседа (SEND).

Архитектура RPKI задокументирована в RFC 6480. Спецификация RPKI задокументирована в обширной серии RFC: RFC 6481, RFC 6482, RFC 6483, RFC 6484, RFC 6485, RFC 6486, RFC 6487, RFC 6488, RFC 6489, RFC. 6490, RFC 6491, RFC 6492 и RFC 6493. SEND задокументирован в RFC 6494 и RFC 6495. Эти RFC являются продуктом рабочей группы sidr IETF ^[1] и основаны на анализе угроз, который был задокументирован в RFC 4593. Эти стандарты охватывают проверку происхождения BGP, в то время как проверка пути обеспечивается BGPsec , который стандартизирован отдельно в RFC 8205. Уже существует несколько реализаций для проверки происхождения префикса. ^[2]

Сертификаты ресурсов и дочерние объекты [ править ]

RPKI использует сертификаты PKI X.509 (RFC 5280) с расширениями для IP-адресов и идентификаторов AS (RFC 3779). Он позволяет членам региональных интернет-реестров , известных как локальные интернет-реестры (LIR), получать сертификат ресурса, в котором перечислены ресурсы нумерации Интернета, которыми они владеют. Это дает им проверяемое доказательство владения, хотя сертификат не содержит идентификационной информации. Используя сертификат ресурса, LIR могут создавать криптографические подтверждения о маршрутах, которые они разрешают делать с префиксами, которые они хранят. Эти подтверждения, называемые авторизациями создания маршрута ^[3] (ROA), описаны ниже.

Разрешения на создание маршрута [ править ]

Route инициированная Авторизация (ROA) состояния, автономная система (AS) уполномочено возникают определенные IP - префиксы . Кроме того, он может определять максимальную длину префикса, который AS имеет право рекламировать.

Максимальная длина префикса [ править ]

Максимальная длина префикса - это необязательное поле. Если он не определен, AS имеет право рекламировать только указанный префикс. Любое более конкретное объявление префикса будет считаться недействительным. Это способ принудительного агрегирования и предотвращения взлома путем объявления более конкретного префикса.

Если присутствует, это указывает длину наиболее конкретного префикса IP, который AS имеет право объявлять. Например, если префикс IP-адреса - 10.0.0.0/16, а максимальная длина - 22, AS имеет право объявлять любой префикс ниже 10.0.0.0/16 , если он не более конкретен, чем / 22 . Итак, в этом примере AS будет разрешено рекламировать 10.0.0.0/16 , 10.0.128.0/20 или 10.0.252.0/22 , но не 10.0.255.0/24 .

Срок действия объявления маршрута RPKI [ править ]

Когда ROA создается для определенной комбинации исходной AS и префикса, это влияет на достоверность RPKI ^[4] одного или нескольких объявлений маршрута. Они могут быть:

ДЕЙСТВИТЕЛЬНЫЙ
- Объявление маршрута покрывается как минимум одним ROA
ИНВАЛИД
- Префикс объявляется из неавторизованной AS. Это означает:
  - Для этого префикса существует ROA для другой AS, но нет ROA, разрешающего эту AS; или же
  - Это может быть попытка угона
- Объявление более конкретное, чем разрешено максимальной длиной, установленной в ROA, которая соответствует префиксу и AS.
НЕИЗВЕСТНЫЙ
- Префикс в этом объявлении не покрывается (или покрывается только частично) существующим ROA.

Обратите внимание, что недопустимые обновления BGP также могут быть связаны с неправильно настроенными ROA. ^[5]

Управление [ править ]

Доступны инструменты с открытым исходным кодом ^[6] для запуска центра сертификации и управления сертификатом ресурса и дочерними объектами, такими как ROA. Кроме того, RIR имеют размещенную платформу RPKI, доступную на их членских порталах. Это позволяет LIR выбирать, полагаться на размещенную систему или запускать собственное программное обеспечение.

Публикация [ править ]

Система не использует единую точку публикации репозитория для публикации объектов RPKI. Вместо этого система репозитория RPKI состоит из нескольких распределенных и делегированных точек публикации репозитория. Каждая точка публикации репозитория связана с одной или несколькими точками публикации сертификатов RPKI. На практике это означает, что при запуске центра сертификации LIR может либо публиковать весь криптографический материал самостоятельно, либо полагаться на публикацию третьей стороны. Когда LIR решает использовать размещенную систему, предоставленную RIR, в принципе публикация выполняется в репозитории RIR.

Проверка [ править ]

Программное обеспечение проверяющей стороны будет извлекать, кэшировать и проверять данные репозитория с помощью rsync или протокола дельты репозитория RPKI (RFC 8182). ^[7] Для доверяющей стороны важно регулярно синхронизироваться со всеми точками публикации, чтобы поддерживать полное и своевременное представление данных репозитория. Неполные или устаревшие данные могут привести к ошибочным решениям о маршрутизации. ^[8]

Решения о маршрутизации [ править ]

После проверки ROA аттестацию можно сравнить с маршрутизацией BGP и помочь операторам сети в процессе принятия решений. Это можно сделать вручную, но проверенные данные о происхождении префикса также могут быть отправлены на поддерживаемый маршрутизатор с использованием протокола RPKI to Router Protocol (RFC 6810) ^[9]. Cisco Systems предлагает встроенную поддержку на многих платформах ^[10] для получения данных RPKI. установить и использовать его в конфигурации роутера. ^[11] Juniper предлагает поддержку на всех платформах ^[12] , работающих под управлением версии 12.2 или новее. Quagga получает эту функциональность через BGP Secure Routing Extensions (BGP-SRx) ^[13] или реализацию RPKI ^[14].полностью совместим с RFC на основе RTRlib. RTRlib ^[15] обеспечивает реализацию протокола RTR с открытым исходным кодом на языке C и проверку происхождения префикса. Библиотека полезна для разработчиков программного обеспечения маршрутизации, а также для операторов сетей. ^[16] Разработчики могут интегрировать RTRlib в демон BGP, чтобы расширить свою реализацию до RPKI. Сетевые операторы могут использовать RTRlib для разработки инструментов мониторинга (например, для проверки правильности работы кешей или оценки их производительности).

RFC 6494 обновляет метод проверки сертификата механизмов безопасности протокола безопасного обнаружения соседей (SEND) для протокола обнаружения соседей (ND), чтобы использовать RPKI для использования в IPv6. Он определяет профиль сертификата SEND с использованием модифицированного профиля сертификата RFC 6487 RPKI, который должен включать одно расширение делегирования IP-адреса RFC 3779.

Ссылки [ править ]

^ «Безопасная междоменная маршрутизация (sidr)» . datatracker.ietf.org .
^ Отчет о реализации маршрутизатора инфраструктуры открытых ключей (RPKI) (RFC 7128) , Р. Буш, Р. Остейн, К. Патель, Х. Гредлер, М. Валиш, февраль 2014 г.
^ Профиль для Маршрута Разрешений (ПЭО) , М. Lepinski, С. Кент, Д. Конг, 9 мая 2011 года
^ Проверка создания маршрута с использованием PKI сертификата ресурса и ROA , Г. Хьюстон, Г. Майклсон, 11 ноября 2010 г.
^ М. Wählisch, О. Maennel, ТЦ Шмидт: "пути маршрута BGP обнаруживать Hijackingиспользованием RPKI", Proc. of ACM SIGCOMM , стр. 103–104, Нью-Йорк: ACM, август 2012 г.
^ "GitHub - dragonresearch / rpki.net: Dragon Research Labs rpki.net Набор инструментов RPKI" . 23 ноября 2019 г. - через GitHub.
^ "RFC 8182 - Протокол дельты репозитория RPKI" . datatracker.ietf.org .
^ Джон Кристофф, Рэнди Буш, Крис Kanich, Джордж Михельсона, Amreesh Phokeer, Томас К. Шмидт и Матиас Wählisch. 2020. Об измерении проверяющих сторон РПКИ. В материалах конференции ACM Internet Measurement Conference (IMC '20). Ассоциация вычислительной техники, Нью-Йорк, Нью-Йорк, США, 484–491. DOI: https://doi.org/10.1145/3419394.3423622
^ «RFC 6810 - Инфраструктура открытого ключа ресурса (RPKI) для протокола маршрутизатора» . datatracker.ietf.org .
^ «Конфигурация RPKI с Cisco IOS» . СОЗРЕТЬ .
^ «Маршрутизация IP Cisco IOS: Справочник по командам BGP - Команды BGP: от M до N [Поддержка]» . Cisco .
^ «Пример: настройка проверки источника для BGP - Техническая документация - Поддержка - Juniper Networks» . www.juniper.net .
^ «Прототип расширения безопасной маршрутизации BGP (BGP ‑ SRx)» . NIST . 15 августа 2016 г.
^ "Quagga с поддержкой проверки происхождения префикса RPKI-RTR: rtrlib / quagga-rtrlib" . 10 мая 2019 г. - через GitHub.
^ "RTRlib - Клиентская библиотека C RPKI RTR" . rpki.realmv6.org .
^ М. Wählisch, Ф. Хеллер, TC Шмидт, JH Шиллер: «RTRlib: Open-Source библиотеки в C для RPKI основе префиксов происхождения Validation, Труды семинара USENIX безопасности CSET'13. Беркли,Калифорния, США: USENIX Доц., 2013.

Внешние ссылки [ править ]

Инструмент, предоставляемый Cloudflare, чтобы проверить, выполняет ли интернет-провайдер проверку RPKI.
Инструмент от Cloudflare для изучения RPKI
Документация RPKI с открытым исходным кодом
Журнал IETF - Защита BGP и SIDR
Реализация полного набора протоколов и инструментов RPKI с открытым исходным кодом.
RTRlib - Клиентская C-библиотека RPKI-Router с открытым исходным кодом
Инструменты RPKI с открытым исходным кодом NLnet Labs, разработанные на Rust
Реализация Quagga RPKI
BGP-SrX - реализация на маршрутизаторе Quagga проверки происхождения и пути на основе RPKI.
RPKI-Monitor - глобальный и региональный мониторинг и анализ развертывания и использования RPKI.
Статистика развертывания RPKI для всех RIR
Тепловая карта глобального развертывания ROA
EuroTransit GmbH Испытательный стенд RPKI
BGPMON - Проверка объявления BGP с помощью RPKI
Праймер APNIC по RPKI
Информация о сертификации ресурсов RIPE NCC (RPKI)
Информация о LACNIC RPKI
Информация об ARIN RPKI
Заявление NRO по RPKI
Заявление Совета по архитектуре Интернета о RPKI
Построение новой иерархии управления: RPKI и будущее маршрутизации и адресации в Интернете
Протокол безопасного пограничного шлюза (Secure-BGP)
Отчет о внедрении маршрутизатора RPKI

[1] «Безопасная междоменная маршрутизация (sidr)» . datatracker.ietf.org .

[2] Отчет о реализации маршрутизатора инфраструктуры открытых ключей (RPKI) (RFC 7128) , Р. Буш, Р. Остейн, К. Патель, Х. Гредлер, М. Валиш, февраль 2014 г.

[3] Профиль для Маршрута Разрешений (ПЭО) , М. Lepinski, С. Кент, Д. Конг, 9 мая 2011 года

[4] Проверка создания маршрута с использованием PKI сертификата ресурса и ROA , Г. Хьюстон, Г. Майклсон, 11 ноября 2010 г.

[5] М. Wählisch, О. Maennel, ТЦ Шмидт: "пути маршрута BGP обнаруживать Hijackingиспользованием RPKI", Proc. of ACM SIGCOMM , стр. 103–104, Нью-Йорк: ACM, август 2012 г.

[6] "GitHub - dragonresearch / rpki.net: Dragon Research Labs rpki.net Набор инструментов RPKI" . 23 ноября 2019 г. - через GitHub.

[7] "RFC 8182 - Протокол дельты репозитория RPKI" . datatracker.ietf.org .

[8] Джон Кристофф, Рэнди Буш, Крис Kanich, Джордж Михельсона, Amreesh Phokeer, Томас К. Шмидт и Матиас Wählisch. 2020. Об измерении проверяющих сторон РПКИ. В материалах конференции ACM Internet Measurement Conference (IMC '20). Ассоциация вычислительной техники, Нью-Йорк, Нью-Йорк, США, 484–491. DOI: https://doi.org/10.1145/3419394.3423622

[9] «RFC 6810 - Инфраструктура открытого ключа ресурса (RPKI) для протокола маршрутизатора» . datatracker.ietf.org .

[10] «Конфигурация RPKI с Cisco IOS» . СОЗРЕТЬ .

[11] «Маршрутизация IP Cisco IOS: Справочник по командам BGP - Команды BGP: от M до N [Поддержка]» . Cisco .

[12] «Пример: настройка проверки источника для BGP - Техническая документация - Поддержка - Juniper Networks» . www.juniper.net .

[13] «Прототип расширения безопасной маршрутизации BGP (BGP ‑ SRx)» . NIST . 15 августа 2016 г.

[14] "Quagga с поддержкой проверки происхождения префикса RPKI-RTR: rtrlib / quagga-rtrlib" . 10 мая 2019 г. - через GitHub.

[15] "RTRlib - Клиентская библиотека C RPKI RTR" . rpki.realmv6.org .

[16] М. Wählisch, Ф. Хеллер, TC Шмидт, JH Шиллер: «RTRlib: Open-Source библиотеки в C для RPKI основе префиксов происхождения Validation, Труды семинара USENIX безопасности CSET'13. Беркли,Калифорния, США: USENIX Доц., 2013.

[1]