Инфраструктура открытого ключа ресурса

инфраструктура безопасности маршрутизации Интернета

Инфраструктура открытых ключей ресурсов ( RPKI ), также известная как сертификация ресурсов , представляет собой специализированную структуру инфраструктуры открытых ключей (PKI), предназначенную для поддержки повышенной безопасности инфраструктуры маршрутизации BGP в Интернете .

RPKI предоставляет способ подключения информации о ресурсах номеров Интернета (например, номеров автономной системы и IP-адресов ) к якорю доверия . Структура сертификата отражает способ распределения ресурсов номеров Интернета . То есть ресурсы изначально распределяются IANA по региональным интернет-реестрам (RIR), которые, в свою очередь, распределяют их по локальным интернет-реестрам (LIR), которые затем распределяют ресурсы среди своих клиентов. RPKI может использоваться законными владельцами ресурсов для управления работой протоколов маршрутизации Интернета с целью предотвращения перехвата маршрутов и других атак. В частности, RPKI используется для защиты протокола пограничного шлюза (BGP) через проверку источника маршрута BGP (ROV), а также протокола обнаружения соседей (ND) для IPv6 через протокол обнаружения защищенных соседей (SEND).

Архитектура RPKI описана в RFC 6480. Спецификация RPKI описана в серии RFC: RFC 6481, RFC 6482, RFC 6483, RFC 6484, RFC 6485, RFC 6486, RFC 6487, RFC 6488, RFC 6489, RFC 6490, RFC 6491, RFC 6492 и RFC 6493. SEND описан в RFC 6494 и RFC 6495. Эти RFC являются продуктом рабочей группы IETF SIDR («Безопасная междоменная маршрутизация») ^[1] и основаны на анализе угроз, который описан в RFC 4593. Эти стандарты охватывают проверку источника BGP, в то время как проверка пути осуществляется BGPsec , который был стандартизирован отдельно в RFC 8205. Уже существует несколько реализаций для проверки происхождения префикса. ^[2]

Сертификаты ресурсов и дочерние объекты

RPKI использует сертификаты X.509 PKI (RFC 5280) с расширениями для IP-адресов и идентификаторов AS (RFC 3779). Он позволяет членам региональных интернет-реестров , известных как локальные интернет-реестры (LIR), получать сертификат ресурса, в котором перечислены ресурсы интернет-номеров, которыми они владеют. Это предоставляет им проверяемое доказательство владения, хотя сертификат не содержит идентификационной информации. Используя сертификат ресурса, LIR могут создавать криптографические подтверждения объявлений маршрутов, которые они разрешают делать с префиксами и ASN, которыми они владеют. Эти подтверждения описаны ниже.

Разрешения на отправку маршрута

Разрешение на начало маршрута (ROA) ^[3] определяет, какая автономная система (AS) имеет право создавать определенные префиксы IP . Кроме того, оно может определять максимальную длину префикса, который AS имеет право рекламировать.

Максимальная длина префикса

Максимальная длина префикса — необязательное поле. Если не определено, AS имеет право только рекламировать точно указанный префикс. Любое более конкретное объявление префикса будет считаться недействительным. Это способ принудительного агрегирования и предотвращения перехвата посредством объявления более конкретного префикса.

При наличии указывает длину наиболее специфичного префикса IP, который AS имеет право рекламировать. Например, если префикс IP-адреса равен 10.0.0.0 / 16 , а максимальная длина равна 22, AS имеет право рекламировать любой префикс ниже 10.0.0.0 / 16 , если он не более специфичен, чем / 22. Таким образом, в этом примере AS будет иметь право рекламировать 10.0.0.0 / 16 , 10.0.128.0 / 20 или 10.0.252.0 / 22 , но не 10.0.255.0 / 24 .

Авторизации поставщика автономных систем

Разрешение поставщика автономной системы (ASPA) определяет, каким сетям разрешено появляться в качестве прямых смежных сетей автономной системы в BGP AS_PATH. ^[4]

Действительность объявления маршрута RPKI

Когда ROA создается для определенной комбинации исходного AS и префикса, это повлияет на действительность RPKI ^[5] одного или нескольких объявлений маршрута. Они могут быть:

ДЕЙСТВИТЕЛЬНЫЙ
- Объявление о маршруте охватывается как минимум одним ROA
НЕВЕРНЫЙ
- Префикс объявляется из неавторизованной AS. Это означает:
  - Для этого префикса существует ROA для другой AS, но нет ROA, разрешающего эту AS; или
  - Это может быть попыткой захвата
- Объявление более конкретное, чем допускается максимальной длиной, установленной в ROA, которая соответствует префиксу и AS
НЕИЗВЕСТНЫЙ
- Префикс в этом объявлении не охвачен (или охвачен только частично) существующим ROA

Обратите внимание, что недействительные обновления BGP также могут быть вызваны неправильно настроенными ROA. ^[6]

Управление

Существуют инструменты с открытым исходным кодом ^[7], доступные для запуска центра сертификации и управления сертификатом ресурса и дочерними объектами, такими как ROA. Кроме того, RIR имеют размещенную платформу RPKI, доступную на их порталах участников. Это позволяет LIR выбирать, полагаться ли на размещенную систему или запускать собственное программное обеспечение.

Публикация

Система не использует единую точку публикации репозитория для публикации объектов RPKI. Вместо этого система репозитория RPKI состоит из нескольких распределенных и делегированных точек публикации репозитория. Каждая точка публикации репозитория связана с одной или несколькими точками публикации сертификатов RPKI. На практике это означает, что при запуске центра сертификации LIR может либо публиковать все криптографические материалы самостоятельно, либо может полагаться на третью сторону для публикации. Когда LIR выбирает использование размещенной системы, предоставляемой RIR, в принципе публикация выполняется в репозитории RIR.

Проверка

Программное обеспечение проверяющей стороны будет извлекать, кэшировать и проверять данные репозитория с помощью rsync или протокола RPKI Repository Delta Protocol (RFC 8182). ^[8] Для проверяющей стороны важно регулярно синхронизироваться со всеми точками публикации, чтобы поддерживать полный и своевременный вид данных репозитория. Неполные или устаревшие данные могут привести к ошибочным решениям о маршрутизации. ^[9]^[10]

Решения о маршрутизации

После проверки ROA аттестации можно сравнить с маршрутизацией BGP и помочь операторам сети в процессе принятия решений. Это можно сделать вручную, но проверенные данные о происхождении префикса также можно отправить на поддерживаемый маршрутизатор с помощью протокола RPKI to Router Protocol (RFC 6810), ^[11] Cisco Systems предлагает встроенную поддержку на многих платформах ^[12] для извлечения набора данных RPKI и использования его в конфигурации маршрутизатора. ^[13] Juniper предлагает поддержку на всех платформах ^[14] , которые работают под управлением версии 12.2 или более поздней. Quagga получает эту функциональность через расширения BGP Secure Routing Extensions (BGP-SRx) ^[15] или реализацию RPKI ^[16], полностью соответствующую RFC на основе RTRlib. RTRlib ^[17] предоставляет реализацию протокола RTR с открытым исходным кодом на языке C и проверку происхождения префикса. Библиотека полезна для разработчиков программного обеспечения маршрутизации, а также для операторов сетей. ^[18] Разработчики могут интегрировать RTRlib в демон BGP, чтобы расширить свою реализацию в сторону RPKI. Операторы сетей могут использовать RTRlib для разработки инструментов мониторинга (например, для проверки правильности работы кэшей или оценки их производительности).

RFC 6494 обновляет метод проверки сертификата механизмов безопасности протокола Secure Neighbor Discovery Protocol (SEND) для протокола Neighbor Discovery Protocol (ND) для использования RPKI в IPv6. Он определяет профиль сертификата SEND, использующий измененный профиль сертификата RFC 6487 RPKI, который должен включать одно расширение делегирования IP-адреса RFC 3779.

Ссылки

^ «Безопасная междоменная маршрутизация (SIDR)». datatracker.ietf.org .
^ Отчет о внедрении маршрутизатора инфраструктуры открытых ключей ресурсов (RPKI) (RFC 7128), Р. Буш, Р. Остейн, К. Патель, Х. Гредлер, М. Вейлиш, февраль 2014 г.
^ Профиль для авторизации исходного маршрута (ROA), М. Лепински, С. Кент, Д. Конг, 9 мая 2011 г.
^ Азимов, Александр; Богомазов, Евгений; Буш, Рэнди; Патель, Кейур; Снайдерс, Джоб; Шрирам, Котикалапуди (29 августа 2023 г.). «BGP AS_PATH Verification Based on Autonomous System Provider Authorization Objects (ASPA)». Internet Engineering Task Force.
^ Хьюстон, Джефф; Майклсон, Джордж Г. (февраль 2012 г.). Проверка происхождения маршрута с использованием инфраструктуры открытых ключей сертификатов ресурсов (PKI) и авторизации происхождения маршрута (ROA) (отчет). Internet Engineering Task Force.
^ М. Велиш, О. Мэннель, Т. К. Шмидт: «К обнаружению перехвата маршрута BGP с использованием RPKI», Proc. of ACM SIGCOMM , стр. 103–104, Нью-Йорк: ACM, август 2012 г.
^ "GitHub - dragonresearch/rpki.net: набор инструментов RPKI Dragon Research Labs rpki.net". 23 ноября 2019 г. – через GitHub.
^ Бруйнзелс, Тим; Муравский, Олег; Вебер, Брайан; Остейн, Роб (июль 2017 г.). «RFC 8182 — Протокол Delta репозитория RPKI». datatracker.ietf.org .
^ Кристофф, Джон; Буш, Рэнди; Канич, Крис; Майклсон, Джордж; Фокир, Амреш; Шмидт, Томас К.; Вэлиш, Маттиас (2020-10-27). «Об измерении RPKI Relying Parties». Труды конференции ACM Internet Measurement Conference . IMC '20. Нью-Йорк, штат Нью-Йорк, США: Ассоциация вычислительной техники. стр. 484–491 . doi :10.1145/3419394.3423622. ISBN 978-1-4503-8138-3. S2CID 225042016.
^ Кристофф, Джон; Буш, Рэнди; Канич, Крис; Майклсон, Джордж; Фокир, Амреш; Шмидт, Томас К.; Вэлиш, Маттиас (2020-10-27). «Об измерении RPKI Relying Parties». Труды конференции ACM по измерению Интернета . ACM. стр. 484–491 . doi :10.1145/3419394.3423622. ISBN 978-1-4503-8138-3. S2CID 225042016.
^ Буш, Рэнди; Остейн, Роб (январь 2013 г.). «RFC 6810 — Инфраструктура открытых ключей ресурсов (RPKI) для протокола маршрутизатора». datatracker.ietf.org .
^ "Конфигурация RPKI с Cisco IOS". RIPE .
^ "Маршрутизация IP Cisco IOS: Справочник команд BGP - Команды BGP: от M до N [Поддержка]". Cisco .
^ "Пример: настройка проверки источника для BGP - Техническая документация - Поддержка - Juniper Networks". www.juniper.net .
^ "BGP Secure Routing Extension (BGP‑SRx) Prototype". NIST . 15 августа 2016 г.
^ "Quagga с поддержкой проверки источника префикса RPKI-RTR: rtrlib/quagga-rtrlib". 10 мая 2019 г. – через GitHub.
^ "RTRlib - Клиентская библиотека RPKI RTR на языке C". rpki.realmv6.org .
^ М. Велиш, Ф. Холлер, Т. К. Шмидт, Дж. Х. Шиллер: «RTRlib: библиотека с открытым исходным кодом на языке C для проверки происхождения префиксов на основе RPKI», Труды семинара по безопасности USENIX CSET'13 , Беркли, Калифорния, США: Ассоциация USENIX, 2013.

Внешние ссылки

Инструмент, предоставленный Cloudflare, для проверки того, проводит ли интернет-провайдер проверку RPKI
Инструмент Cloudflare для исследования RPKI
Документация RPKI с открытым исходным кодом
Журнал IETF — Обеспечение безопасности BGP и SIDR
Реализация полного набора протоколов и инструментов RPKI с открытым исходным кодом
RTRlib — библиотека C клиента RPKI-маршрутизатора с открытым исходным кодом
Инструменты RPKI с открытым исходным кодом от NLnet Labs, разработанные на Rust
Реализация Quagga RPKI
BGP-SrX — реализация проверки происхождения и пути на основе RPKI для маршрутизатора Quagga.
RPKI-Monitor — глобальный и региональный мониторинг и анализ развертывания и использования RPKI.
Статистика развертывания RPKI для всех RIR
Глобальная тепловая карта развертывания ROA
Испытательный стенд EuroTransit GmbH RPKI
BGPMON — проверка объявления BGP с помощью RPKI
Учебник APNIC по RPKI
Информация о сертификации ресурсов RIPE NCC (RPKI)
Информация о РПКИ ЛАЦНИК
Информация ARIN RPKI
Заявление NRO по RPKI
Заявление Совета по архитектуре Интернета по RPKI
Создание новой иерархии управления: RPKI и будущее маршрутизации и адресации в Интернете
Протокол безопасного пограничного шлюза (Secure-BGP)
Отчет о внедрении маршрутизатора RPKI

[1] «Безопасная междоменная маршрутизация (SIDR)». datatracker.ietf.org .

[2] Отчет о внедрении маршрутизатора инфраструктуры открытых ключей ресурсов (RPKI) (RFC 7128), Р. Буш, Р. Остейн, К. Патель, Х. Гредлер, М. Вейлиш, февраль 2014 г.

[3] Профиль для авторизации исходного маршрута (ROA), М. Лепински, С. Кент, Д. Конг, 9 мая 2011 г.

[4] Азимов, Александр; Богомазов, Евгений; Буш, Рэнди; Патель, Кейур; Снайдерс, Джоб; Шрирам, Котикалапуди (29 августа 2023 г.). «BGP AS_PATH Verification Based on Autonomous System Provider Authorization Objects (ASPA)». Internet Engineering Task Force.

[5] Хьюстон, Джефф; Майклсон, Джордж Г. (февраль 2012 г.). Проверка происхождения маршрута с использованием инфраструктуры открытых ключей сертификатов ресурсов (PKI) и авторизации происхождения маршрута (ROA) (отчет). Internet Engineering Task Force.

[6] М. Велиш, О. Мэннель, Т. К. Шмидт: «К обнаружению перехвата маршрута BGP с использованием RPKI», Proc. of ACM SIGCOMM , стр. 103–104, Нью-Йорк: ACM, август 2012 г.

[7] "GitHub - dragonresearch/rpki.net: набор инструментов RPKI Dragon Research Labs rpki.net". 23 ноября 2019 г. – через GitHub.

[8] Бруйнзелс, Тим; Муравский, Олег; Вебер, Брайан; Остейн, Роб (июль 2017 г.). «RFC 8182 — Протокол Delta репозитория RPKI». datatracker.ietf.org .

[9] Кристофф, Джон; Буш, Рэнди; Канич, Крис; Майклсон, Джордж; Фокир, Амреш; Шмидт, Томас К.; Вэлиш, Маттиас (2020-10-27). «Об измерении RPKI Relying Parties». Труды конференции ACM Internet Measurement Conference . IMC '20. Нью-Йорк, штат Нью-Йорк, США: Ассоциация вычислительной техники. стр. 484–491 . doi :10.1145/3419394.3423622. ISBN 978-1-4503-8138-3. S2CID 225042016.

[10] Кристофф, Джон; Буш, Рэнди; Канич, Крис; Майклсон, Джордж; Фокир, Амреш; Шмидт, Томас К.; Вэлиш, Маттиас (2020-10-27). «Об измерении RPKI Relying Parties». Труды конференции ACM по измерению Интернета . ACM. стр. 484–491 . doi :10.1145/3419394.3423622. ISBN 978-1-4503-8138-3. S2CID 225042016.

[11] Буш, Рэнди; Остейн, Роб (январь 2013 г.). «RFC 6810 — Инфраструктура открытых ключей ресурсов (RPKI) для протокола маршрутизатора». datatracker.ietf.org .

[12] "Конфигурация RPKI с Cisco IOS". RIPE .

[13] "Маршрутизация IP Cisco IOS: Справочник команд BGP - Команды BGP: от M до N [Поддержка]". Cisco .

[14] "Пример: настройка проверки источника для BGP - Техническая документация - Поддержка - Juniper Networks". www.juniper.net .

[15] "BGP Secure Routing Extension (BGP‑SRx) Prototype". NIST . 15 августа 2016 г.

[16] "Quagga с поддержкой проверки источника префикса RPKI-RTR: rtrlib/quagga-rtrlib". 10 мая 2019 г. – через GitHub.

[17] "RTRlib - Клиентская библиотека RPKI RTR на языке C". rpki.realmv6.org .

[18] М. Велиш, Ф. Холлер, Т. К. Шмидт, Дж. Х. Шиллер: «RTRlib: библиотека с открытым исходным кодом на языке C для проверки происхождения префиксов на основе RPKI», Труды семинара по безопасности USENIX CSET'13 , Беркли, Калифорния, США: Ассоциация USENIX, 2013.