iT邦幫忙

第 12 屆 iThome 鐵人賽

DAY 2
3
Modern Web

什麼,透過BGP從小型網路到真正的網際網路!?系列 第 2

Day 2 什麼是RPKI

上一篇文章中,我們了解了BGP協議及路由表的運作原理

本篇將要來分享RPKI安全驗證

RPKI原名Resource Public Key Infrastructure,意思也就是 資源 公鑰 基礎建設
那他是一個基於公共密鑰基礎建設框架,用於保護網際網路路由基礎建設,特別是在BGP協定上

全球目前大約有24%部署了RPKI,有76%沒有部署

https://ithelp.ithome.com.tw/upload/images/20200917/20119484SsLh9aXybI.jpg

那麼,RPKI的原理是什麼呢?

其原理就是 用戶啟用ROA授權指定ASN,接著路由伺服器檢查進入的路由RPKI是否正確

像有些網站提供了RPKI驗證查詢 https://rpki.cloudflare.com/

那麼,RPKI要怎麼去過濾呢?他的數據來源?

首先,RPKI是需要從RIR(互聯網管理機構)去抓取數據的,擁有者也需要到RIR去進行部署
以RIPE(歐洲互聯網管理機構)為例,用戶可以自行選擇是否架設一個RPKI伺服器或是交給RIR託管

https://ithelp.ithome.com.tw/upload/images/20200917/20119484i8n4jnEhIm.png

RPKI可以做什麼

可以保護IP不被盜播,舉個例子
我擁有兩個AS號碼(自治號碼),有一天我將我第一個號碼的prefix分給第二個號碼來廣播
不過我只有新增IRR紀錄,也就是 route6 object.

但是,我的RPKI分配的AS是我第一個號碼的,這就導致有些地方收不到我的路由(因為RPKI invalid)

可能有些人會想問,疑 如果沒有部署RPKI呢?

我們在上面有說到RPKI部署率不高,所以目前並不是每個ISP都有部署RPKI unknow不通行

如果通行了... 全球可能很多地方的使用者將無法訪問網際網路

(打開 Cloudflare 的RPKI網站... 嗯,一堆ISP都沒有部署RPKI呢)

https://ithelp.ithome.com.tw/upload/images/20200917/20119484IpGZrE80JT.png


上一篇
Day 1 什麼是BGP
下一篇
Day 3 ROA/RPKI/RS... 這些BGP專業術語是什麼
系列文
什麼,透過BGP從小型網路到真正的網際網路!?30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言