Инфраструктура открытого ключа ресурса - Resource Public Key Infrastructure

Ресурсный Public Key Infrastructure ( RPKI ), также известный как сертификации ресурсов , является специализированным инфраструктура открытого ключа рамки (PKI) для поддержки более высокий уровень безопасности для Интернета «s BGP маршрутизации инфраструктуры.

RPKI предоставляет способ связать информацию о ресурсах номеров Интернета (например, номера автономных систем и IP-адреса ) с якорем доверия . Структура сертификата отражает способ распределения номерных ресурсов Интернета . То есть ресурсы первоначально распределяются IANA среди региональных интернет-реестров (RIR), которые, в свою очередь, распределяют их по местным интернет-реестрам (LIR), которые затем распределяют ресурсы среди своих клиентов. RPKI может использоваться законными владельцами ресурсов для управления работой протоколов Интернет- маршрутизации для предотвращения перехвата маршрута и других атак. В частности, RPKI используется для защиты протокола пограничного шлюза (BGP) с помощью проверки происхождения маршрута (ROV) BGP, а также протокола обнаружения соседей (ND) для IPv6 через протокол обнаружения безопасного соседа (SEND).

Архитектура RPKI задокументирована в RFC 6480. Спецификация RPKI задокументирована в обширной серии RFC: RFC 6481, RFC 6482, RFC 6483, RFC 6484, RFC 6485, RFC 6486, RFC 6487, RFC 6488, RFC 6489, RFC. 6490, RFC 6491, RFC 6492 и RFC 6493. SEND задокументирован в RFC 6494 и RFC 6495. Эти RFC являются продуктом рабочей группы sidr IETF и основаны на анализе угроз, который был задокументирован в RFC 4593. Эти стандарты охватывают проверку происхождения BGP, в то время как проверка пути обеспечивается BGPsec , который был стандартизирован отдельно в RFC 8205. Уже существует несколько реализаций для проверки происхождения префикса.

Сертификаты ресурсов и дочерние объекты

RPKI использует сертификаты PKI X.509 (RFC 5280) с расширениями для IP-адресов и идентификаторов AS (RFC 3779). Это позволяет членам региональных интернет-реестров , известных как локальные интернет-реестры (LIR), получить сертификат ресурса, в котором перечислены ресурсы нумерации Интернета, которыми они владеют. Это дает им проверяемое доказательство владения, хотя сертификат не содержит идентификационной информации. Используя сертификат ресурса, LIR могут создавать криптографические подтверждения для объявлений о маршрутах, которые они разрешают делать с префиксами, которые они хранят. Эти подтверждения, называемые авторизациями создания маршрута (ROA), описаны ниже.

Авторизация маршрута

Route инициированная Авторизация (ROA) состояния, автономная система (AS) уполномочено возникают определенные IP - префиксы . Кроме того, он может определять максимальную длину префикса, который AS имеет право рекламировать.

Максимальная длина префикса

Максимальная длина префикса - это необязательное поле. Если он не определен, AS имеет право рекламировать только указанный префикс. Любое более конкретное объявление префикса будет считаться недействительным. Это способ принудительного агрегирования и предотвращения взлома путем объявления более конкретного префикса.

Если присутствует, это указывает длину наиболее конкретного префикса IP, который AS имеет право объявлять. Например, если префикс IP-адреса - 10.0.0.0/16, а максимальная длина - 22, AS имеет право объявлять любой префикс ниже 10.0.0.0/16 , если он не более конкретен, чем / 22 . Итак, в этом примере AS будет разрешено рекламировать 10.0.0.0/16 , 10.0.128.0/20 или 10.0.252.0/22 , но не 10.0.255.0/24 .

Срок действия объявления маршрута RPKI

Когда ROA создается для определенной комбинации исходной AS и префикса, это влияет на достоверность RPKI одного или нескольких объявлений маршрута. Они могут быть:

ДЕЙСТВИТЕЛЬНЫЙ
- Объявление маршрута покрывается как минимум одним ROA
ИНВАЛИД
- Префикс объявляется из неавторизованной AS. Это означает:
  - Для этого префикса существует ROA для другой AS, но нет ROA, разрешающего эту AS; или же
  - Это может быть попытка угона
- Объявление более конкретное, чем разрешено максимальной длиной, установленной в ROA, которая соответствует префиксу и AS.
НЕИЗВЕСТНЫЙ
- Префикс в этом объявлении не покрывается (или покрывается только частично) существующим ROA.

Обратите внимание, что недопустимые обновления BGP также могут быть связаны с неправильно настроенными ROA.

Управление

Доступны инструменты с открытым исходным кодом для запуска центра сертификации и управления сертификатом ресурса и дочерними объектами, такими как ROA. Кроме того, RIR имеют размещенную платформу RPKI, доступную на их членских порталах. Это позволяет LIR выбирать, полагаться на размещенную систему или запускать собственное программное обеспечение.

Публикация

Система не использует единую точку публикации репозитория для публикации объектов RPKI. Вместо этого система репозитория RPKI состоит из нескольких распределенных и делегированных точек публикации репозитория. Каждая точка публикации репозитория связана с одной или несколькими точками публикации сертификатов RPKI. На практике это означает, что при запуске центра сертификации LIR может либо публиковать весь криптографический материал самостоятельно, либо полагаться на публикацию третьей стороны. Когда LIR решает использовать размещенную систему, предоставленную RIR, в принципе публикация выполняется в репозитории RIR.

Проверка

Программное обеспечение проверяющей стороны будет извлекать, кэшировать и проверять данные репозитория с помощью rsync или протокола Delta Repository RPKI (RFC 8182). Для проверяющей стороны важно регулярно синхронизироваться со всеми точками публикации, чтобы поддерживать полное и своевременное представление данных репозитория. Неполные или устаревшие данные могут привести к ошибочным решениям о маршрутизации.

Маршрутные решения

После проверки ROA аттестацию можно сравнить с маршрутизацией BGP и помочь операторам сети в процессе принятия решений. Это можно сделать вручную, но проверенные данные о происхождении префикса также можно отправить на поддерживаемый маршрутизатор с помощью протокола RPKI to Router Protocol (RFC 6810), Cisco Systems предлагает встроенную поддержку на многих платформах для получения набора данных RPKI и использования его в конфигурация роутера. Juniper предлагает поддержку на всех платформах, работающих под управлением версии 12.2 или новее. Quagga получает эту функциональность через BGP Secure Routing Extensions (BGP-SRx) или реализацию RPKI, полностью совместимую с RFC на основе RTRlib. RTRlib предоставляет реализацию протокола RTR с открытым исходным кодом на языке C и проверку происхождения префикса. Библиотека полезна для разработчиков программного обеспечения маршрутизации, а также для операторов сетей. Разработчики могут интегрировать RTRlib в демон BGP, чтобы расширить свою реализацию до RPKI. Сетевые операторы могут использовать RTRlib для разработки инструментов мониторинга (например, для проверки правильности работы кешей или оценки их производительности).

RFC 6494 обновляет метод проверки сертификата механизмов безопасности протокола безопасного обнаружения соседей (SEND) для протокола обнаружения соседей (ND), чтобы использовать RPKI для использования в IPv6. Он определяет профиль сертификата SEND с использованием модифицированного профиля сертификата RFC 6487 RPKI, который должен включать одно расширение делегирования IP-адреса RFC 3779.

Languages

In other projects