RPKI för säkrare routing

RPKI står för Resource Public Key Infrastructure och är en metod för att kryptografiskt signera BGP-annonseringar.

RPKI

BGP är det protokoll som används för routrar att berätta vilka IP-adresser (prefixes) som finns hos en viss operatör. Det är därför viktigt att ingen kan falskt annonsera ut någon annans nät. Standard så fungerar BGP så att vem som helst kan annonsera ut vilket nät som helst. BGP är en viktig del i internets infrastruktur.

Exempelvis kan mail kapas och TLS-certifikat utfärdas om routes felaktigt tar en annan väg på internet. Krypterad trafik kan spelas in och försöka knäckas direkt eller på längre sikt.

Några uppmärksammade BGP-kapningar:

RPKI finns beskrivet i RFC6480 med titeln An Infrastructure to Support Secure Internet Routing. RPKI är också en del av det globala initiativet MANRS, Mutually Agreed Norms for Routing Security som bl.a. Internet Society (ISOC) ligger bakom.

Netnod som sköter flertalet knutpunkter i Norden kommer att stödja RKPI i sin route-server under H1 2019 meddelar Netnod i följande blogginlägg.

OpenBSD rpki-client

För att gå in på mer tekniska detaljer så används ROA-records för den som vill annonsera kryptografiskt verifierbara prefixes. Sedan kan dessa ROA-records verifieras med mjukvara såsom RIPE NCC’s RPKI Validator, NLNetLab’s Routinator 3000 eller OpenBSD:s rpki-client.

Nyligen så släpptes även verktyget BGPalerter av NTT ”Software to monitor streams of BGP data. Pre-configured for announcements, withdrawals, and hijacks real-time monitoring.”

Läs mer här om BGPalerter: https://mailman.nanog.org/pipermail/nanog/2019-August/102672.html

Jonas Lejon

Om Jonas Lejon

En av sveriges främsta experter inom cybersäkerhet med över 20 års erfarenhet. Frågor? Kontakta mig på: [email protected] eller LinkedIn Twitter

Skriv en kommentar