我們現今在網際網路上看到最常見的路由錯誤之一,是IP位址前綴錯誤,無論是偶然(設定路由器時的“胖手指”錯誤)還是故意(路由劫持攻擊),這意味著有人在路由表上宣告他們無權發起的IP位址前綴。
當路由器未啟動為其接收的路由來源進行驗證時,必須相信發起該路由的自治系統(AS)有權利這樣做。
資源公鑰基礎建設(RPKI)可以幫助解決相關的安全問題,它允許單位發布路由起源授權(ROA),其中聲明AS已經被IP位址持有者授權,以將路由宣告給該區塊內的一個或多個IP位址前綴,並且這些前綴ROA可以通過密碼驗證。
不同區域和經濟體的ROA涵蓋的IP位址大小也各不相同。在拉丁美洲和中美洲,三個經濟體,厄瓜多爾,烏拉圭和委內瑞拉,由於國家大型計畫目由LACNIC執行,RPKI部署率超過90%。
在哥倫比亞,由於哥倫比亞國家研究和教育網路(RENATA)目前正在執行一個國家級RPKI認識和部署計畫(由思科和LACNIC通過Frida計畫資助),迄今已將經濟部門的RPKI部署增加到46%。
除了提高意識和能力外,該計畫還測試驗證通過RENATA網路傳送的BGP路由的來源,以實現關鍵網路基礎設施和學術網路的路由安全保證。
該項目的後續步驟是招募更多的組織(主要是學術網路)簽署他們的資源(與RedCLARA,Latin American Cooperation of Advanced Networks合作),並為驗證系統執行一些功能擴充實驗。
這個在哥倫比亞進行的計畫,為國家主導RPKI部署計畫的有效性提供了進一步的證據。也就是說,個人和組織可以輕鬆發布RPKI簽章並創建ROA,以便開始熟悉RPKI系統,並設置一些路由器來開始驗證BGP路由來源。至少在實驗室環境中,可以檢查所接收到的路由的有效性狀態,而先不根據這些資訊做出任何路由決定。
Frida計畫中關於BGP Security in RENATA’s Infrastructure請參閱:
http://programafrida.net/en/archivos/project/seguridad-bgp-en-infraestructura-de-renata
Increasing RPKI at a national level in APNIC Blog請參閱:
https://blog.apnic.net/2017/12/07/increasing-rpki-national-level/
APNIC關於RPKI的介紹資訊,以及關於如何創建ROA的操作步驟指南,請參閱:
https://www.apnic.net/community/security/resource-certification/#routing
