Ресурсная инфраструктура открытых ключей

Ресурсная инфраструктура открытых ключей ( RPKI ), также известная как сертификация ресурсов , представляет собой специализированную структуру инфраструктуры открытых ключей (PKI), обеспечивающую повышенную безопасность Интернете в BGP инфраструктуры маршрутизации .

RPKI обеспечивает способ подключения информации о ресурсах номеров Интернета (например, номеров автономной системы и IP-адресов ) к якорю доверия . Структура сертификата отражает способ номеров Интернета распределения ресурсов . То есть ресурсы первоначально распределяются IANA между региональными реестрами Интернета (RIR), которые, в свою очередь, распределяют их по местным реестрам Интернета (LIR), которые затем распределяют ресурсы среди своих клиентов. RPKI может использоваться законными владельцами ресурсов для контроля работы протоколов интернет-маршрутизации с целью предотвращения перехвата маршрутов и других атак. В частности, RPKI используется для защиты протокола пограничного шлюза (BGP) посредством проверки происхождения маршрута BGP (ROV), а также протокола обнаружения соседей (ND) для IPv6 посредством протокола обнаружения безопасного соседа (SEND).

Архитектура RPKI описана в RFC 6480. Спецификация RPKI описана в серии RFC: RFC 6481, RFC 6482, RFC 6483, RFC 6484, RFC 6485, RFC 6486, RFC 6487, RFC 6488, RFC 6489, RFC. 6490, RFC 6491, RFC 6492 и RFC 6493. SEND документирован в RFC 6494 и RFC 6495. Эти RFC являются продуктом . рабочей группы SIDR («Безопасная междоменная маршрутизация») IETF ^[1] и основаны на анализе угроз, который был задокументирован в RFC 4593. Эти стандарты охватывают проверку происхождения BGP, тогда как проверка пути обеспечивается BGPsec , который отдельно стандартизирован в RFC 8205. Уже существует несколько реализаций проверки происхождения префикса. ^[2]

Сертификаты ресурсов и дочерние объекты

RPKI использует сертификаты X.509 PKI (RFC 5280) с расширениями для IP-адресов и идентификаторов AS (RFC 3779). Это позволяет членам региональных интернет-реестров , известных как локальные интернет-реестры (LIR), получать сертификат ресурса, в котором перечислены номерные ресурсы Интернета принадлежащие им . Это дает им достоверное доказательство владения, хотя сертификат не содержит идентификационной информации. Используя сертификат ресурса, LIR могут создавать криптографические подтверждения объявлений маршрутов, которые они разрешают делать с использованием имеющихся у них префиксов и номеров ASN. Эти подтверждения описаны ниже.

Авторизация источника маршрута

Авторизация происхождения маршрута (ROA) ^[3] указывает, какая автономная система (AS) имеет право создавать определенные префиксы IP . Кроме того, он может определить максимальную длину префикса, который AS имеет право рекламировать.

Максимальная длина префикса

Максимальная длина префикса является необязательным полем. Если он не определен, AS имеет право рекламировать только указанный префикс. Любое более конкретное объявление префикса будет считаться недействительным. Это способ обеспечить агрегацию и предотвратить перехват посредством объявления более конкретного префикса.

Если он присутствует, он определяет длину наиболее конкретного IP-префикса, который AS имеет право рекламировать. Например, если префикс IP-адреса — , а чем максимальная длина — 22, AS имеет право рекламировать любой префикс ниже , 10.0.0.0/16 22 если он не более конкретен, / 10.0.0.0/16 . AS будет разрешено , но 10.0.252.0/22 10.0.128.0/20 или 10.0.255.0/24 Итак . , этом примере не , в рекламировать 10.0.0.0/16

Разрешения поставщика автономной системы

Авторизация поставщика автономной системы (ASPA) определяет, каким сетям разрешено появляться в качестве прямых восходящих смежных систем автономной системы в BGP AS_PATH. ^[4]

Срок действия объявления маршрута RPKI

Когда ROA создается для определенной комбинации исходной AS и префикса, это повлияет на действительность RPKI. ^[5] одного или нескольких объявлений маршрута. Они могут быть:

ДЕЙСТВИТЕЛЬНЫЙ
- Объявление маршрута распространяется как минимум на один ROA.
НЕВЕРНЫЙ
- Префикс объявлен из неавторизованной AS. Это означает:
  - Для этого префикса существует ROA для другой AS, но нет ROA, авторизующего эту AS; или
  - Это может быть попытка угона
- Объявление является более конкретным, чем позволяет максимальная длина, установленная в ROA, которая соответствует префиксу и AS.
НЕИЗВЕСТНЫЙ
- Префикс в этом объявлении не подпадает под действие (или подпадает лишь частично) существующего ROA.

Обратите внимание, что недействительные обновления BGP также могут быть вызваны неправильной настройкой ROA. ^[6]

Управление

Есть инструменты с открытым исходным кодом. ^[7] доступен для запуска центра сертификации и управления сертификатом ресурса и дочерними объектами, такими как ROA. Кроме того, RIR имеют размещенную платформу RPKI, доступную на порталах своих участников. Это позволяет LIR использовать размещенную систему или использовать собственное программное обеспечение.

Публикация

Система не использует единую точку публикации репозитория для публикации объектов RPKI. Вместо этого система репозитория RPKI состоит из нескольких распределенных и делегированных точек публикации репозитория. Каждая точка публикации репозитория связана с одной или несколькими точками публикации сертификатов RPKI. На практике это означает, что при управлении центром сертификации LIR может либо самостоятельно публиковать все криптографические материалы, либо полагаться на третью сторону для публикации. Когда LIR решает использовать размещенную систему, предоставленную RIR, публикация в принципе осуществляется в репозитории RIR.

Валидация

Программное обеспечение проверяющей стороны будет извлекать, кэшировать и проверять данные репозитория с помощью rsync или дельта-протокола репозитория RPKI (RFC 8182). ^[8] Доверяющей стороне важно регулярно синхронизироваться со всеми точками публикации, чтобы поддерживать полное и своевременное представление данных хранилища. Неполные или устаревшие данные могут привести к ошибочным решениям о маршрутизации. ^[9]^[10]

Решения по маршрутизации

После проверки ROA аттестации можно сравнить с маршрутизацией BGP и помочь операторам сети в процессе принятия решений. Это можно сделать вручную, но проверенные данные происхождения префикса также можно отправить на поддерживаемый маршрутизатор с использованием протокола RPKI to Router (RFC 6810). ^[11] Cisco Systems предлагает встроенную поддержку на многих платформах. ^[12] для получения набора данных RPKI и использования его в конфигурации маршрутизатора. ^[13] Juniper предлагает поддержку на всех платформах ^[14] которые работают под управлением версии 12.2 или новее. Quagga получает эту функциональность через расширения безопасной маршрутизации BGP (BGP-SRx). ^[15] или реализация RPKI ^[16] полностью совместим с RFC на основе RTRlib. РТРлиб ^[17] предоставляет реализацию C с открытым исходным кодом протокола RTR и проверку происхождения префикса. Библиотека полезна не только разработчикам программного обеспечения для маршрутизации, но и сетевым операторам. ^[18] Разработчики могут интегрировать RTRlib в демон BGP, чтобы расширить свою реализацию до RPKI. Сетевые операторы могут использовать RTRlib для разработки инструментов мониторинга (например, для проверки правильности работы кэшей или оценки их производительности).

RFC 6494 обновляет метод проверки сертификата механизмов безопасности протокола Secure Neighbor Discovery (SEND) для протокола Neighbor Discovery Protocol (ND), чтобы использовать RPKI для использования в IPv6. Он определяет профиль сертификата SEND, используя модифицированный профиль сертификата RFC 6487 RPKI, который должен включать одно расширение делегирования IP-адреса RFC 3779.

Ссылки

^ «Безопасная междоменная маршрутизация (SIDR)» . datatracker.ietf.org .
^ Отчет о внедрении маршрутизатора инфраструктуры открытого ключа ресурса (RPKI) (RFC 7128) , Р. Буш, Р. Остейн, К. Патель, Х. Гредлер, М. Велиш, февраль 2014 г.
^ Профиль авторизации происхождения маршрута (ROA) , М. Лепински, С. Кент, Д. Конг, 9 мая 2011 г.
^ Азимов, Александр; Богомазов Евгений; Буш, Рэнди; Патель, Кейур; Снейдерс, Иов; Шрирам, Котикалапуди (29 августа 2023 г.). «Проверка BGP AS_PATH на основе объектов авторизации поставщика автономной системы (ASPA)» . Рабочая группа по интернет-инжинирингу.
^ Хьюстон, Джефф; Майклсон, Джордж Г. (февраль 2012 г.). Проверка происхождения маршрута с использованием инфраструктуры открытых ключей сертификата ресурса (PKI) и авторизации происхождения маршрута (ROA) (отчет). Рабочая группа по интернет-инжинирингу.
^ М. Валиш, О. Меннель, Т. К. Шмидт: «На пути к обнаружению перехвата маршрута BGP с использованием RPKI», Proc. из ACM SIGCOMM , стр. 103–104, Нью-Йорк: ACM, август 2012 г.
^ «GitHub — Dragonresearch/rpki.net: набор инструментов RPKI Dragon Research Labs rpki.net» . 23 ноября 2019 г. – через GitHub.
^ Брейнзелс, Тим; Муравский Олег; Вебер, Брайан; Остейн, Роб (июль 2017 г.). «RFC 8182 — Дельта-протокол репозитория RPKI» . datatracker.ietf.org .
^ Кристофф, Джон; Буш, Рэнди; Канич, Крис; Майклсон, Джордж; Фокир, Амриш; Шмидт, Томас К.; Валиш, Маттиас (27 октября 2020 г.). «Об измерении доверяющих сторон RPKI» . Материалы конференции ACM по интернет-измерениям . ММК '20. Нью-Йорк, штат Нью-Йорк, США: Ассоциация вычислительной техники. стр. 484–491. дои : 10.1145/3419394.3423622 . ISBN 978-1-4503-8138-3 . S2CID 225042016 .
^ Кристофф, Джон; Буш, Рэнди; Канич, Крис; Майклсон, Джордж; Фокир, Амриш; Шмидт, Томас К.; Валиш, Маттиас (27 октября 2020 г.). «Об измерении доверяющих сторон RPKI» . Материалы конференции ACM по интернет-измерениям . АКМ. стр. 484–491. дои : 10.1145/3419394.3423622 . ISBN 978-1-4503-8138-3 . S2CID 225042016 .
^ Буш, Рэнди; Остейн, Роб (январь 2013 г.). «RFC 6810 — Ресурсная инфраструктура открытых ключей (RPKI) для протокола маршрутизатора» . datatracker.ietf.org .
^ «Конфигурация RPKI с Cisco IOS» . СПЕЛЫЙ .
^ «IP-маршрутизация Cisco IOS: Справочник по командам BGP — Команды BGP: от M до N [Поддержка]» . Циско .
^ «Пример: Настройка проверки происхождения для BGP — Техническая документация — Поддержка — Juniper Networks» . www.juniper.net .
^ «Прототип расширения безопасной маршрутизации BGP (BGP‑SRx)» . НИСТ . 15 августа 2016 г.
^ «Quagga с поддержкой проверки происхождения префикса RPKI-RTR: rtrlib/quagga-rtrlib» . 10 мая 2019 г. – через GitHub.
^ «RTRlib — клиентская библиотека C RPKI RTR» . rpki.realmv6.org .
^ М. Велиш, Ф. Холлер, Т. К. Шмидт, Дж. Х. Шиллер: «RTRlib: библиотека с открытым исходным кодом на C для проверки происхождения префиксов на основе RPKI, Proc. Семинара безопасности USENIX CSET'13 , Беркли, Калифорния, США: USENIX доц., 2013.

Внешние ссылки

[1] «Безопасная междоменная маршрутизация (SIDR)» . datatracker.ietf.org .

[2] Отчет о внедрении маршрутизатора инфраструктуры открытого ключа ресурса (RPKI) (RFC 7128) , Р. Буш, Р. Остейн, К. Патель, Х. Гредлер, М. Велиш, февраль 2014 г.

[3] Профиль авторизации происхождения маршрута (ROA) , М. Лепински, С. Кент, Д. Конг, 9 мая 2011 г.

[4] Азимов, Александр; Богомазов Евгений; Буш, Рэнди; Патель, Кейур; Снейдерс, Иов; Шрирам, Котикалапуди (29 августа 2023 г.). «Проверка BGP AS_PATH на основе объектов авторизации поставщика автономной системы (ASPA)» . Рабочая группа по интернет-инжинирингу.

[5] Хьюстон, Джефф; Майклсон, Джордж Г. (февраль 2012 г.). Проверка происхождения маршрута с использованием инфраструктуры открытых ключей сертификата ресурса (PKI) и авторизации происхождения маршрута (ROA) (отчет). Рабочая группа по интернет-инжинирингу.

[6] М. Валиш, О. Меннель, Т. К. Шмидт: «На пути к обнаружению перехвата маршрута BGP с использованием RPKI», Proc. из ACM SIGCOMM , стр. 103–104, Нью-Йорк: ACM, август 2012 г.

[7] «GitHub — Dragonresearch/rpki.net: набор инструментов RPKI Dragon Research Labs rpki.net» . 23 ноября 2019 г. – через GitHub.

[8] Брейнзелс, Тим; Муравский Олег; Вебер, Брайан; Остейн, Роб (июль 2017 г.). «RFC 8182 — Дельта-протокол репозитория RPKI» . datatracker.ietf.org .

[9] Кристофф, Джон; Буш, Рэнди; Канич, Крис; Майклсон, Джордж; Фокир, Амриш; Шмидт, Томас К.; Валиш, Маттиас (27 октября 2020 г.). «Об измерении доверяющих сторон RPKI» . Материалы конференции ACM по интернет-измерениям . ММК '20. Нью-Йорк, штат Нью-Йорк, США: Ассоциация вычислительной техники. стр. 484–491. дои : 10.1145/3419394.3423622 . ISBN 978-1-4503-8138-3 . S2CID 225042016 .

[10] Кристофф, Джон; Буш, Рэнди; Канич, Крис; Майклсон, Джордж; Фокир, Амриш; Шмидт, Томас К.; Валиш, Маттиас (27 октября 2020 г.). «Об измерении доверяющих сторон RPKI» . Материалы конференции ACM по интернет-измерениям . АКМ. стр. 484–491. дои : 10.1145/3419394.3423622 . ISBN 978-1-4503-8138-3 . S2CID 225042016 .

[11] Буш, Рэнди; Остейн, Роб (январь 2013 г.). «RFC 6810 — Ресурсная инфраструктура открытых ключей (RPKI) для протокола маршрутизатора» . datatracker.ietf.org .

[12] «Конфигурация RPKI с Cisco IOS» . СПЕЛЫЙ .

[13] «IP-маршрутизация Cisco IOS: Справочник по командам BGP — Команды BGP: от M до N [Поддержка]» . Циско .

[14] «Пример: Настройка проверки происхождения для BGP — Техническая документация — Поддержка — Juniper Networks» . www.juniper.net .

[15] «Прототип расширения безопасной маршрутизации BGP (BGP‑SRx)» . НИСТ . 15 августа 2016 г.

[16] «Quagga с поддержкой проверки происхождения префикса RPKI-RTR: rtrlib/quagga-rtrlib» . 10 мая 2019 г. – через GitHub.

[17] «RTRlib — клиентская библиотека C RPKI RTR» . rpki.realmv6.org .

[18] М. Велиш, Ф. Холлер, Т. К. Шмидт, Дж. Х. Шиллер: «RTRlib: библиотека с открытым исходным кодом на C для проверки происхождения префиксов на основе RPKI, Proc. Семинара безопасности USENIX CSET'13 , Беркли, Калифорния, США: USENIX доц., 2013.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]