BGP RPKI-RTR

Das Border Gateway Protokoll (BGP) ist grundsätzlich anfällig für sog. Route-Hijacking, d. h. das Routen von nicht-autorisierten Routern angekündigt werden können und somit Datenverkehr vom eigentlichen Ziel auf sich umlenken können. Diese Situation kann sowohl durch Fehlkonfigurationen als auch durch explizite Angriffe versursacht werden.

Resource Public Key Infrastructure (RPKI) ist ein kryptographisches Verfahren, um Routing-Datensätze, die aus Präfix und Autonomen System (AS) bestehen, zu signieren und zu validieren. Dieser Datensatz wird als Route Origin Authorization (ROA) bezeichnet. Weitere Informationen zu RPKI finden sich in RFC 6480.

LCOS unterstützt das Resource Public Key Infrastructure to Router Protokoll (RTR) nach RFC 8210, mit dem der Router von einem Validator bzw. Cache Informationen über validierte Routen und zugehöriger AS-Nummer erhält. Diese Informationen werden dazu verwendet, um im BGP-Prozess zu prüfen, ob ein Präfix bzw. eine Route von dem korrekten Origin AS versendet wird. Ebenso wird geprüft, ob die Präfixlänge den Informationen aus dem ROA-Datensatz entspricht.

Dieser Cache kann entweder selbst auf einem eigenen Server für eigene Präfixe betrieben werden oder es wird ein öffentlicher Validator verwendet.

Öffentliche RPKI-Caches enthalten eine große Anzahl von ROA-Einträgen. Aufgrund des Speicherverbrauchs wird empfohlen RPKI nur auf Geräten mit genügend Hauptspeicher (mehr als 2 GB) zu verwenden wie z. B. zentralseitige Geräte oder der vRouter mit entsprechend großem Arbeitsspeicher.

www.lancom-systems.de

LANCOM Systems GmbH | A Rohde & Schwarz Company | Adenauerstr. 20/B2 | 52146 Würselen | Deutschland | E‑Mail info@lancom.de

LANCOM Logo