Инфраструктура открытого ключа ресурса - Resource Public Key Infrastructure

Инфраструктура открытого ключа ресурса (RPKI), также известный как Сертификация ресурсов, является специализированным инфраструктура открытого ключа (PKI), предназначенная для защиты Интернет с маршрутизация инфраструктура.

RPKI позволяет подключать информацию о ресурсах номеров Интернета (например, Автономная система числа и IP-адреса ) к якорь доверия. Структура сертификата отражает способ, которым Интернет-номер ресурсы распределяются. То есть ресурсы изначально распределяются IANA к региональные интернет-регистры (RIR), которые, в свою очередь, распространяют их среди местные интернет-реестры (LIR), которые затем распределяют ресурсы среди своих клиентов. RPKI может использоваться законными держателями ресурсов для контроля работы Интернета. протоколы маршрутизации предотвращать угон маршрута и другие атаки. В частности, RPKI используется для защиты Протокол пограничного шлюза (BGP) через BGP Route Origin Validation (ROV), а также Протокол обнаружения соседей (ND) для IPv6 сквозь Обнаружение безопасного соседа протокол (ОТПРАВИТЬ).

Архитектура RPKI задокументирована в RFC 6480. Спецификация RPKI задокументирована в обширной серии RFC: RFC 6481, RFC 6482, RFC 6483, RFC 6484, RFC 6485, RFC 6486, RFC 6487, RFC 6488, RFC 6489, RFC 6490, RFC 6491, RFC 6492, и RFC 6493. ОТПРАВИТЬ задокументирована в RFC 6494 и RFC 6495. Эти RFC являются продуктом IETF рабочая группа sidr,[1] и основаны на анализе угроз, который был задокументирован в RFC 4593. Эти стандарты охватывают проверку происхождения BGP, в то время как проверка пути обеспечивается BGPsec, который стандартизирован отдельно в RFC 8205. Уже существует несколько реализаций проверки происхождения префикса.[2]

Сертификаты ресурсов и дочерние объекты

RPKI использует X.509 Сертификаты PKI (RFC 5280 ) с расширениями для IP-адресов и идентификаторов AS (RFC 3779 ). Это позволяет членам региональные интернет-регистры, известный как местные интернет-реестры (LIR), чтобы получить сертификат ресурса, в котором перечислены Интернет-номер ресурсы, которыми они владеют. Это дает им проверяемое доказательство владения, хотя сертификат не содержит идентификационной информации. Используя сертификат ресурса, LIR могут создавать криптографические подтверждения о маршрутах, которые они разрешают делать с префиксами, которые они хранят. Эти подтверждения, называемые авторизациями создания маршрута.[3] (ROA) описаны ниже.

Авторизация маршрута

А Авторизация маршрута (ROA) заявляет, что автономная система (AS) имеет право создавать определенные Префиксы IP. Кроме того, он может определять максимальную длину префикса, который AS имеет право рекламировать.

Максимальная длина префикса

Максимальная длина префикса - это необязательное поле. Если он не определен, AS имеет право рекламировать только указанный префикс. Любое более конкретное объявление префикса будет считаться недействительным. Это способ принудительной агрегации и предотвращения перехвата через объявление более конкретного префикса.

Если присутствует, это указывает длину наиболее определенного префикса IP, который AS уполномочен анонсировать. Например, если префикс IP-адреса 10.0.0.0/16 и максимальная длина - 22, AS имеет право рекламировать любой префикс под 10.0.0.0/16, если он не более конкретен, чем /22. Итак, в этом примере AS будет разрешено рекламировать 10.0.0.0/16, 10.0.128.0/20 или же 10.0.252.0/22, но нет 10.0.255.0/24.

Срок действия объявления маршрута RPKI

Когда ROA создается для определенной комбинации исходной AS и префикса, это влияет на достоверность RPKI.[4] одного или нескольких объявлений маршрута. Они могут быть:

  • ДЕЙСТВИТЕЛЬНЫЙ
    • Объявление маршрута покрывается как минимум одним ROA
  • ИНВАЛИД
    • Префикс объявляется из неавторизованной AS. Это означает:
      • Для этого префикса существует ROA для другой AS, но нет ROA, разрешающего эту AS; или же
      • Это может быть попытка угона
    • Объявление более конкретное, чем разрешено максимальной длиной, установленной в ROA, которая соответствует префиксу и AS.
  • НЕИЗВЕСТНЫЙ
    • Префикс в этом объявлении не покрывается (или покрывается только частично) существующим ROA.

Обратите внимание, что недопустимые обновления BGP также могут быть связаны с неправильно настроенными ROA.[5]

Управление

Есть инструменты с открытым исходным кодом[6] доступен для запуска центра сертификации и управления сертификатом ресурса и дочерними объектами, такими как ROA. Кроме того, RIR имеют размещенную платформу RPKI, доступную на порталах их участников. Это позволяет LIR выбирать, полагаться на размещенную систему или запускать собственное программное обеспечение.

Публикация

Система не использует единую точку публикации репозитория для публикации объектов RPKI. Вместо этого система репозитория RPKI состоит из нескольких точек публикации репозитория. Каждая точка публикации репозитория связана с одной или несколькими точками публикации сертификатов RPKI. На практике это означает, что при запуске центра сертификации LIR может либо публиковать весь криптографический материал самостоятельно, либо полагаться на третью сторону для публикации. Когда LIR решает использовать размещенную систему, предоставленную RIR, в принципе публикация выполняется в репозитории RIR.

Проверка

Проверяющие стороны запускают локальные инструменты проверки RPKI, которые указывают на разные якоря доверия RPKI и используют rsync собрать все криптографические объекты из различных репозиториев, используемых для публикации. Это создает локальный проверенный кеш, который можно использовать для принятия решений о маршрутизации BGP.

Маршрутные решения

После проверки ROA аттестацию можно сравнить с маршрутизацией BGP и помочь операторам сети в процессе принятия решений. Это можно сделать вручную, но проверенные данные о происхождении префикса также можно отправить на поддерживаемый маршрутизатор, используя RPKI to Router Protocol (RFC 6810 ),[7] Cisco Systems предлагает встроенную поддержку на многих платформах[8] для получения набора данных RPKI и использования его в конфигурации маршрутизатора.[9] Juniper предлагает поддержку на всех платформах[10] которые работают с версией 12.2 или новее. Quagga получает эту функцию через BGP Secure Routing Extensions (BGP-SRx)[11] или реализация RPKI[12] полностью RFC-совместимый на основе RTRlib. RTRlib[13] предоставляет C-реализацию протокола RTR с открытым исходным кодом и проверку происхождения префикса. Библиотека полезна для разработчиков программного обеспечения маршрутизации, а также для операторов сетей.[14] Разработчики могут интегрировать RTRlib в демон BGP, чтобы расширить свою реализацию до RPKI. Сетевые операторы могут использовать RTRlib для разработки инструментов мониторинга (например, для проверки правильности работы кешей или оценки их производительности).

RFC 6494 обновляет метод проверки сертификата Обнаружение безопасного соседа протокол (SEND) механизмы безопасности для Протокол обнаружения соседей (ND) использовать RPKI для использования в IPv6. Он определяет профиль сертификата SEND с использованием измененного RFC 6487 Профиль сертификата RPKI, который должен включать один RFC 3779 Расширение делегирования IP-адреса.

Рекомендации

  1. ^ «Безопасная междоменная маршрутизация (sidr)». datatracker.ietf.org.
  2. ^ Отчет о реализации маршрутизатора инфраструктуры открытых ключей (RPKI) (RFC 7128), Р. Буш, Р. Остейн, К. Патель, Х. Гредлер, М. Валиш, февраль 2014 г.
  3. ^ Профиль для авторизации отправления маршрута (ROA), М. Лепински, С. Кент, Д. Конг, 9 мая 2011 г.
  4. ^ Проверка происхождения маршрута с использованием PKI сертификата ресурса и ROA, Дж. Хьюстон, Дж. Майклсон, 11 ноября 2010 г.
  5. ^ M. Wählisch, O. Maennel, T.C. Шмидт: «На пути к обнаружению перехвата маршрута BGP с помощью RPKI», Proc. ACM SIGCOMM, стр. 103–104, Нью-Йорк: ACM, август 2012 г.
  6. ^ "GitHub - dragonresearch / rpki.net: Dragon Research Labs rpki.net Набор инструментов RPKI". 23 ноября 2019 г. - через GitHub.
  7. ^ «RFC 6810 - Инфраструктура открытого ключа ресурса (RPKI) для протокола маршрутизатора». datatracker.ietf.org.
  8. ^ «Конфигурация RPKI с Cisco IOS». СПЕЛЫЙ.
  9. ^ «IP-маршрутизация Cisco IOS: Справочник по командам BGP - Команды BGP: от M до N [Поддержка]». Cisco.
  10. ^ «Пример: настройка проверки источника для BGP - Техническая документация - Поддержка - Juniper Networks». www.juniper.net.
  11. ^ «Прототип расширения безопасной маршрутизации BGP (BGP ‑ SRx)». NIST. 15 августа 2016 г.
  12. ^ "Quagga с поддержкой проверки происхождения префикса RPKI-RTR: rtrlib / quagga-rtrlib". 10 мая 2019 г. - через GitHub.
  13. ^ "RTRlib - Клиентская C-библиотека RPKI RTR". rpki.realmv6.org.
  14. ^ M. Wählisch, F. Holler, T.C. Шмидт, Дж. Шиллер: «RTRlib: библиотека с открытым исходным кодом на C для проверки происхождения префиксов на основе RPKI, Proc. семинара по безопасности USENIX CSET'13, Беркли, Калифорния, США: Ассоциация USENIX, 2013.

внешняя ссылка