RIPE NCC:RPKI在防范互联网劫持方面至关重要

cxny0y

2008 年，巴基斯坦电信宣布错误的互联网路由，导致全球 有图比 流量中断。他们的一个提供商随后将此公告发送到互联网的其余部分，导致 有图比 的流量被转移到巴基斯坦。发生这种情况是因为巴基斯坦电信被命令屏蔽 有图比，他们为 有图比 的 IP 地址屏蔽创建了自己的路由。如果 RPKI 得到更广泛的采用，这本可以避免。

RPKI_带logo_骇客攻击有图比.jpg (15.57 KB, 下载次数: 2)

2023-10-4 15:11 上传

点击文件名下载附件

目前RPKI发展现状

大型 ISP 已经开始更积极地采用 RPKI 来防止劫持事故。

Google 通过在资源公钥基础设施 (RPKI) 中注册 99% 的路由，实现了一个重要的里程碑。截至 2022 年 1 月，RIPE NCC（Réseaux IP Européens 网络协调中心）报告称，RPKI 证书数量与上一年相比增长了 26%。

近年来，由于针对企业和个人的网络攻击越来越多，RPKI 变得越来越重要。互联网服务供应商（ISP）和其他 IP 资源持有者是使路由更安全和防止恶意行为的关键参与者

什么是 RPKI？

RPKI 代表资源公钥基础设施。简单来说，它是一个安全框架，使网络运营商能够保护路由基础设施。

RPKI的基本原理

RPKI 是一个有助于保护 BGP 路由基础设施的框架。它通过密码验证 AS 是否合法地发起其 IP 前缀广告来工作。RPKI 证明特定 IP 地址块或 ASN 与这些互联网号码资源的持有者之间的关联。验证过程包括两个重要部分：路线原点授权（ROA）和路线原点验证（ROV）。

防止劫持的工具：

RIPE NCC：RIPE NCC（比如RISwhois和BGPlay）
RISwhois 和 BGPPlay 可以通过自治系统运营商的适当路由配置来防止整个 Internet 上未经授权的通告。RIPE NCC 将介绍互联网号码资源的数字证书进一步加强整个互联网的路由配置。

APNIC:RTBADT — 实时 BGP 异常检测工具
RTBADT 设计用于在边界路由器上运行，它可以通过监视与其 BGP 邻居之一的对等会话来检测 BGP 异常。

RPKI 的重要性

缺乏保护可能导致 BGP 劫持今天的 Internet 路由很容易受到攻击和劫持，而提供/使用证书是使路由更安全所需的步骤之一。RPKI 的广泛采用将有助于在全球范围内简化 IP 地址持有者验证和路由决策。BGP 最初是作为一种基于信任的协议开发的，没有内置安全措施。这意味着网络运营商被迫相互信任以保护他们的系统。

Internet 流量通过非法路由重定向。有时，网络运营商可能会不小心犯下配置错误并导致网络中断。RPKI 可以成为一种有效的反滥用工具，它不仅可以帮助清理 Internet 路由，还可以使通过努力防止泄漏和路由劫持，它更加安全。RPKI的出现可以促进BGP路由的安全，防止恶意行为。RPKI 使用Routing Origin Authority (ROA) 证书来验证资源持有者发布的路由通告的来源。

RPKI_常见的三个陷阱.jpg (12.48 KB, 下载次数: 2)

2023-10-4 15:21 上传

点击文件名下载附件

  1. 人为错误
在为网络配置 ROA 时，使用 RIR 管理的 RPKI 门户的没有经验的工程师可能面临特殊风险。例如，网络工程师可以创建一个单一的 ROA，授权 AS0 公布其网络前缀。由于此 ROA 将传播到部署 RPKI 来源验证“拒绝无效”的各种网络，网络前缀将停止在 Internet 上传播。届时，工程师可能很难解决此问题，因为他们可能无法再连接到 RIR 服务器来更正配置。

RPKI 存储库中超过 5% 的记录与合法的长期 BGP 公告冲突，并且大约 30% 的记录配置错误。虽然冲突会导致执行 ROV 的 AS 丢弃合法的 BGP 路由通告，从而与数以千计的合法目的地断开连接，但错误配置使发行者无法免受前缀劫持的影响。

建议：
  - UI 设计者和/或此类用户界面的提供者应提供警告，以提请用户注意使用特殊类型 AS 的风险。改
  - 设计者和/或提供者应通过提供所有者愿意为其分配前缀的 AS 的组织名称来发出警告。
  - 使用 DISCO，这是一种用于证明 IP 地址块所有权的系统，可产生巨大的安全优势，同时规避 RPKI 和 ROV 面临的采用障碍。

  2. 从存储库中删除 ROA
在引入更具体的 ROA 之后，保留与 RIR 分配的确切前缀长度相关联的 ROA 已成为一种相当普遍的做法。尽管可以从存储库中删除 ROA，但这并不是一件容易的事。这种意识的例子记录在 2013 年 12 月 19 日和 2020 年 2 月 26 日。这两个例子都表明在使用 RIR 托管的 RPKI 工具集删除其中一个 RIR 中的 ROA 时存在操作困难。

推荐：
  - 运营商应使用“最小 ROA”，其中仅包含源自 BGP 的 IP 前缀，不包含其他前缀。

IPmeetIP 如何采用 RPKI

恶意行为者在欺骗互联网用户和公司以提取敏感数据方面变得越来越老练。IPmeetIP 已主动通过实施资源公钥基础设施(RPKI) – 一种有助于提高互联网安全性的加密证书系统路由.

跟上安全趋势

RPKI_Internet Security Programs.jpg (18.07 KB, 下载次数: 2)

2023-10-4 15:21 上传

点击文件名下载附件

今天的互联网是一个全球系统，由紧密互连的网络组成，这些网络在边界网关协议的帮助下相互通信。但是，BGP 存在安全漏洞，可能会影响互联网生态系统的稳定性和安全性。因此，我们需要利用 RPKI 来支持网络安全，帮助避免大规模的网络攻击。

  - 为了营造安全和谐的网络环境，如果您在IPmeetIP平台购买租用，将获得RPKI服务，让客户降低网络攻击的概率。
  - 在RPKI中设置双重验证要求：ROA+RPKI
  - 大型 ISP 应积极采用 RPKI，使企业和个人互联网用户的路由更加安全。

我们的最终目标是自动化 RPKI 授权过程并简化客户和 IPXO 产品支持团队的资源管理。很快，子网持有者将能够委托 RPKI 管理，以节省手动安排的时间。同时，IP 承租人将能够自行在 IPmeetIP 平台上发布 ROA，并立即开始使用租用的 IP 地址。

如果您的公司需要来自经过审查的 IP 持有者的 IP 地址，登记在 IPmeetIP 上注册一个帐户并立即开始租赁。