Alle
BGP

Wie gehen Sie mit ungültigen oder unbekannten BGP-Ursprungsankündigungen mit RPKI um?

Bereitgestellt von KI und der LinkedIn Community

Die BGP-Ursprungsvalidierung mit RPKI ist ein Sicherheitsmechanismus, der Netzbetreibern hilft, ungültige oder unbekannte BGP-Ursprungsankündigungen herauszufiltern. Bei diesen Ankündigungen handelt es sich um Nachrichten, die ein Präfix und sein ursprüngliches autonomes System ankündigen (WIE) zu anderen BGP-Peers. Wenn der Ursprungs-AS nicht berechtigt ist, das Präfix anzukündigen, oder wenn die Ankündigung nicht von einer gültigen Public-Key-Ressourceninfrastruktur abgedeckt wird (RPKI) -Objekt, dann wird es als ungültig oder unbekannt betrachtet. In diesem Artikel erfahren Sie, wie Sie mit RPKI mit diesen Ankündigungen umgehen und einige Best Practices für die Konfiguration und Überwachung Ihrer BGP-Router erhalten.

In diesem gemeinsamen Artikel finden Sie Antworten von Expert:innen.

Im Fokus können Expert:innen stehen, die hochwertige Beiträge hinzufügen. Mehr erfahren

1 Was ist RPKI?

RPKI ist ein kryptografisches Framework, das es Netzbetreibern ermöglicht, digitale Zertifikate und signierte Objekte zu erstellen und zu veröffentlichen, die ihr Eigentum und ihre Autorität über IP-Adressen und AS-Nummern bestätigen. RPKI-Objekte enthalten Routenherkunftsberechtigungen (ROAs), die angeben, welcher AS ein Präfix erzeugen kann, und Routerzertifikate, die es Routern ermöglichen, sich gegenseitig zu authentifizieren und RPKI-Informationen auszutauschen. RPKI basiert auf einem hierarchischen Vertrauensmodell, bei dem eine Stammzertifizierungsstelle (CA) delegiert die Befugnisse an regionale und lokale Zertifizierungsstellen, die wiederum Zertifikate und ROAs an Netzbetreiber ausstellen.

Fügen Sie Ihre Sichtweise hinzu

2 Wie validiert RPKI BGP-Ursprungsankündigungen?

Bei der RPKI-Validierung wird der Ursprungs-AS einer BGP-Ankündigung mit den im RPKI-Repository veröffentlichten ROAs verglichen. Dies kann je nach Implementierung durch einen separaten Validierungsserver oder durch den Router selbst erfolgen. Der Validierungsserver sammelt und verifiziert die RPKI-Objekte aus dem Repository und generiert einen Validierungscache, bei dem es sich um eine Liste gültiger, ungültiger und unbekannter Präfixe und ihrer Ursprungs-AS handelt. Der Validierungsserver sendet dann den Validierungscache über ein sicheres Protokoll, z. B. RPKI-to-Router, an den Router (RTR). Der Router vergleicht dann den Ursprungs-AS jeder BGP-Ankündigung mit dem Validierungscache und weist einen Validierungsstatus zu: gültig, ungültig oder unbekannt.

Fügen Sie Ihre Sichtweise hinzu

3 Wie filtern Sie ungültige oder unbekannte BGP-Ursprungsankündigungen?

Das Filtern ungültiger oder unbekannter BGP-Ursprungsankündigungen ist eine Richtlinienentscheidung, die von Ihren Netzwerkzielen und Ihrer Risikotoleranz abhängt. Die allgemeine Empfehlung lautet jedoch, ungültige Ankündigungen abzulehnen oder ihre Priorität zu verringern und gültige Ankündigungen zu akzeptieren oder zu bevorzugen. Auf diese Weise können Sie Routing-Schleifen, Hijacks und Fehlkonfigurationen verhindern, die die Leistung und Sicherheit Ihres Netzwerks beeinträchtigen könnten. Um BGP-Ursprungsankündigungen basierend auf ihrem Validierungsstatus zu filtern, müssen Sie Ihren Router so konfigurieren, dass er geeignete Routenzuordnungen, Filter oder Attribute auf die eingehenden oder ausgehenden BGP-Updates anwendet. Sie können beispielsweise den Befehl bgp bestpath prefix-validate verwenden, um gültige Präfixe gegenüber ungültigen oder unbekannten Präfixen in Cisco IOS zu bevorzugen.

Fügen Sie Ihre Sichtweise hinzu

4 Wie überwachen Sie die RPKI-Validierung und -Filterung?

Die Überwachung der RPKI-Validierung und -Filterung ist unerlässlich, um sicherzustellen, dass Ihr Netzwerk genaue und sichere BGP-Ursprungsinformationen empfängt und sendet. Sie können verschiedene Tools und Befehle verwenden, um den Status und die Statistiken der RPKI-Validierung und -Filterung auf Ihrem Router zu überwachen, z. B. show bgp ipv4 unicast prefix-validate, show rpki cache-server und show rpki prefix-table in Cisco IOS. Sie können auch externe Tools und Dienste wie RIPE RPKI Validator, RPKI Monitor und RPKI Observatory verwenden, um die Gültigkeit Ihrer eigenen Präfixe und ROAs oder der Präfixe und ROAs anderer Netzwerke zu überprüfen und Anomalien oder Fehler im RPKI-Repository oder Validierungsprozess zu erkennen.

Fügen Sie Ihre Sichtweise hinzu

5 Was sind einige Best Practices für die RPKI-Validierung und -Filterung?

Bei der Bereitstellung der RPKI-Validierung und -Filterung in Ihrem Netzwerk ist es wichtig, bestimmte Schritte zu unternehmen, um die Sicherheit und Stabilität zu verbessern. Die Verwendung mehrerer Validierungsserver und Cache-Server für Redundanz und Lastenausgleich ist unerlässlich. Darüber hinaus ist es wichtig, die Router-Software und RPKI-Objekte durch regelmäßige Signaturüberprüfung auf dem neuesten Stand zu halten. Es wird auch empfohlen, RPKI-Validierungs- und Filterrichtlinien in einer Lab- oder Sandbox-Umgebung zu testen, bevor Sie sie auf Ihr Produktionsnetzwerk anwenden. Darüber hinaus sollten Sie die Auswirkungen der RPKI-Validierung und -Filterung auf den Netzwerkverkehr und die Größe der Routingtabelle überwachen und sich mit Peers und Upstream-Anbietern abstimmen, um konsistente und kompatible Richtlinien und Verfahren zu erhalten.

Fügen Sie Ihre Sichtweise hinzu

BGP

BGP

+ Folgen

Diesen Artikel bewerten

Wir haben diesen Artikel mithilfe von KI erstellt. Wie finden Sie ihn?

Sehr gut Geht so

Diesen Artikel melden

Relevantere Lektüre

翻译：