产品
解决方案
了解
关于我们
登录
开始免费试用

产品更新

释放资源公钥基础设施 (RPKI) 的强大潜能

作者 Arun Mehra & Kemal Sanjta
| 2024年11月14日 | 3 阅读时长

本文还提供以下语言版本: United States (English), Germany (Deutsch), Mexico (Español), Spain (Español), France (Français), Canada (Français), Italy (Italiano), Japan (日本語), Korea (한국어) & Brazil (Português).

摘要

RPKI 使用数字证书来验证特定编号的 AS 能否通告特定的 IP 地址块。借助 ThousandEyes 的新功能,您可以轻松监控 RPKI 运行状况。

资源公钥基础设施 (RPKI) 是互联网路由安全领域的一项重大突破,欢迎了解 RPKI。如果您的企业尚未涉足 RPKI,这篇文章正好可以帮到您。本文将为您简要介绍 RPKI 的基础知识,重点阐述 RPKI 的主要优势,并详细说明 RPKI 为何有助您实施网络安全战略。此外,我们还将首次介绍 ThousandEyes 的一项新功能,该功能可以让您更高效地监控 RPKI。

RPKI 是什么?

RPKI 是一个可以提升互联网路由基础设施安全性的框架。RPKI 有助于确保由自治系统 (AS) 通告的 IP 前缀合法且经过授权。该功能可减轻恶意攻击者劫持 IP 地址空间造成的影响,并最大限度降低无恶意实体错误配置带来的风险,从而显著提升互联网路由的整体安全性和可靠性。

为什么企业应该重视 RPKI?

RPKI 可通过验证 IP 前缀来源的真实性,有效限制因错误配置和劫持导致的非法前缀通告发生传播。随着越来越多的组织(包括大型金融机构和美国联邦政府)开始采用 RPKI,RPKI 日益成为提升路由安全性的必备利器。限制边界网关协议 (BGP) 劫持和配置错误的影响范围有助于提升网络安全性、运营稳定性、财务健康状况、法规合规性和竞争优势。通过增加对 BGP 劫持预防和缓解措施的投入,企业可以保护其资产、声誉和收入来源,并提升客户的信任度和满意度。

RPKI 简史

BGP 在设计之初并未考虑到安全问题,因此当路由被劫持时,运营商可以选择的应对措施就非常有限。如果无法通告更具体的前缀,通常唯一的解决办法就是直接与对等体建立连接。为应对这些挑战,路由技术领域的企业和同行已经采用了多种最佳实践,例如配置可通告的最大前缀数量和使用路由过滤。

在过去十年中,为了防止恶意和意外路由劫持,很多企业和同行在 RPKI 的构建和推广中付出了巨大的努力。目前,约 53% 的 IPv4 前缀和约 60% 的 IPv6 前缀已拥有有效的路由起源授权 (ROA)。

尽管取得了一些进展,但对网络运营商来说,实施类似于 RPKI 这样的安全措施并非强制性的,这意味着全面保障 BGP 的安全还有很长的路要走。不过,其中也不乏一些积极的趋势:NTT、Cogent 和 Lumen 等主要传输服务提供商以及 Amazon 和 Netflix 等大型内容提供商都已部署 RPKI 验证,为提升互联网安全性做出了重要贡献。只有运营商共同努力,才能确保更多的服务提供商采用这些做法,让人人都能享有更安全的互联网。

RPKI 如何运作?

RPKI 使用数字证书来验证特定的 IP 地址块能否由特定编号的 AS 通告。后续需要执行两个步骤:签名和验证。以下是该过程的简化分解:

  1. 证书颁发机构 (CA):称为证书颁发机构的可信实体向 IP 和 AS 前缀持有者颁发数字证书。此类证书用于确认相应实体可以签发 ROA 的 IP 前缀和 AS。

  2. 路由起源授权 (ROA):IP 前缀持有者创建 ROA,这些 ROA 则指定有权通告其 IP 地址块的特定编号的 AS。这些 ROA 使用 CA 签发的数字证书进行签名。

  3. 验证:网络运营商使用 RPKI 验证器来检查 ROA 的真实性。如果 ROA 有效且路由通告与之一致,则接受路由;否则,应拒绝路由。该过程称为路由起源验证 (ROV)。

RPKI 验证的实际应用

在图 1 中,ThousandEyes BGP Route Visualization(BGP 路由可视化)视图显示了特定前缀的路径变化。红色实线表示正在建立的新路径,红色虚线表示正在撤销的路径。位于纽约和阿姆斯特丹的两个 ThousandEyes BGP 监控器报告前缀无法访问。原因是 AT&T 和 KPN 这两家服务提供商检测到通告前缀的 ROA 无效。由于他们实施了 ROV,该通告被丢弃,导致无法检测到前缀。这种情况是因 ROA 配置错误引起的,与非恶意活动无关。不过,通过这个场景,我们可以了解在发生劫持时,RPKI 是如何防止无效通告传播的。

ThousandEyes BGP Route Visualization(BGP 路由可视化)视图显示某些监控器无法检测到前缀
图 1. ThousandEyes BGP Route Visualization(BGP 路由可视化)视图显示某些监控器无法检测到前缀

如下图 2 所示,在网络运营商修复 ROA 后,一切按预期正常运行。

ThousandEyes 平台显示路径在 ROA 修复后恢复正常
图 2. 路径在 ROA 修复后恢复正常

RPKI 快速入门

实施 RPKI 可能听起来困难重重,但其实比想象的要简单。要使用该平台,需先完成几个简单的步骤:

  1. 了解区域互联网注册管理机构 (RIR) 的作用:区域互联网注册管理机构(RIR,包括 ARIN、RIPE NCC、APNIC、LACNIC 和 AFRINIC)不仅作为 RPKI 服务的根证书颁发机构,还充当信任锚。首先,登录您所在区域的 RIR 门户网站,查看关于创建 ROA 的指南。

  2. 创建 ROA:使用 RIR 的 Web 界面或 API 创建 ROA。ROA 指定有权作为最初来源通告特定 IP 前缀的 AS。在许多情况下,RIR 可以自动给出建议,您只需确认即可。

  3. 监控:使用 ThousandEyes 监控 RPKI 无效通告。

  4. 维护:此外,运营商还需要设置最大前缀长度,评估对现有系统(如 DDoS 攻击缓解)的影响,并更新相关工作流程来确保 ROA 始终处于最新状态,从而持续保障安全性和合规性,并帮助防止全球性中断。(注:为便于本博客的撰写,我们对一些细节进行了必要的简化。

借助 ThousandEyes 轻松监控 RPKI

在为 ASN-前缀对设置 ROA 后,您可以使用 ThousandEyes 推出的全新 RPKI 状态告警类型(见图 3)配置告警,监控我们的 BGP 监控器检测到的任何 RPKI 无效通告。然后,将这些告警关联到您想要监控的特定测试或前缀。

ThousandEyes 平台上的 RPKI 告警配置
图 3. RPKI 告警配置

当 ThousandEyes 的 BGP 监控器检测到 RPKI 无效公告时,系统会向您发出告警,并在 BGP 视图中显示相应告警图标(如图 4 所示),为您指示通告了 RPKI 无效前缀的具体 AS。

ThousandEyes 平台显示检测到 RPKI 无效通告
图 4. ThousandEyes 平台显示检测到 RPKI 无效通告

结语

RPKI 是一个强大的安全框架,可帮助您提升 BGP 的整体安全性和可靠性。RPKI 可以显著减轻错误配置和 BGP 劫持造成的影响,从而让您能够更轻松地保护数据,并帮助您维护值得信赖的企业互联网形象。立即开启您的 RPKI 之旅,助力您的企业充分释放安全路由的全部潜能。

如果您对 RPKI 实施有任何疑问或需要帮助,请随时联系我们的团队。我们是您的坚实后盾,可以帮助您从容应对各种挑战,全面提升互联网路由的安全性!

发布日期 2024年11月14日

Author Portrait:Arun Mehra
Arun Mehra
工程产品经理 (BGP)
Author Portrait:Kemal Sanjta
Kemal Sanjta
首席互联网分析师
类别:
产品更新
主题:
边界网关协议 (BGP) 资源公钥基础设施 (RPKI)
分享本文!
  返回 ThousandEyes 博客

相关博客

正在处理...
正在处理...
AMERICAS
EUROPE
ASIA