بروتوكول نظام الحافة المستقلة (BGP) إنه المعيار الفعلي للتوجيه على الإنترنت. ومع ذلك، على مر السنين، أصبح عرضة بشكل متزايد للمشاكل الأمنية، مثل اختطاف الطريق وانتشار معلومات التوجيه الزائفة.
هذا هو المكان البنية التحتية للمفتاح العام للمورد (RPKI) BGP، وهي تقنية تعمل على تحسين الأمان والمصادقة في عالم توجيه الإنترنت. في هذه المقالة، سوف نستكشف المفاهيم الأساسية لـ BGP RPKI في MikroTik RouterOS، واستخدامها، والسيناريوهات الأكثر صلة بها.
في نهاية المقال ستجد صغيرا تجربه بالعربي سيسمح لك تقييم المعرفة المكتسبة في هذه القراءة
المفاهيم الأساسية لـ RPKI وBGP
قبل أن نتعمق في تفاصيل RPKI في MikroTik RouterOS، من الضروري فهم بعض المفاهيم الأساسية:
BGP (بروتوكول بوابة الحدود)
BGP هو بروتوكول توجيه يستخدم لتبادل معلومات التوجيه بين الأنظمة الذاتية على الإنترنت. إنه ضروري للاتصال والتواصل بين الشبكات ويلعب دورًا حاسمًا في تحديد المسارات التي ستتبعها حركة المرور على الإنترنت.
RPKI (البنية التحتية للمفتاح العام للمورد)
RPKI هو إطار عمل أمني مصمم لتعزيز البنية التحتية لتوجيه الإنترنت. يعتمد RPKI على تشفير المفتاح العام ويستخدم الشهادات الرقمية لضمان صحة معلومات التوجيه.
ROA (ترخيص أصل الطريق)
ROA هو كائن RPKI يربط عنوان IP أو بادئة الشبكة بنظام مستقل. يتيح ذلك لمشغلي الشبكات الإعلان بوضوح عن الجهة المخولة بالإعلان عن بادئة معينة في BGP.
استخدام RPKI في MikroTik RouterOS
MikroTik RouterOS، هو نظام تشغيل توجيه يستخدم في مجموعة متنوعة من أجهزة الشبكة، ويدعم BGP RPKI. يتيح تطبيق RPKI في MikroTik RouterOS لمشغلي الشبكات حماية مسارات BGP الخاصة بهم من الإعلانات الضارة أو التي تم تكوينها بشكل خاطئ، وبالتالي تحسين أمان واستقرار شبكاتهم. فيما يلي بعض الطرق التي يتم بها استخدام RPKI في MikroTik RouterOS:
التحقق من صحة مسار BGP
يمكن لـ MikroTik RouterOS التحقق من صحة مسارات BGP باستخدام RPKI. عند تلقي مسار BGP، يتحقق جهاز التوجيه من وجود ROA المطابق في قاعدة بيانات RPKI. إذا لم يتم العثور على أي تطابق، فيمكن لجهاز التوجيه وضع علامة على المسار على أنه غير صالح أو تجاهله.
إعلانات آمنة
يسمح RPKI لمشغلي الشبكات بالإعلان عن الأنظمة المستقلة المصرح لها بالإعلان عن مسارات محددة. وهذا يمنع اختطاف المسار وانتشار معلومات التوجيه الزائفة، نظرًا لأن الإعلانات المصرح بها فقط هي التي تعتبر صالحة.
الحماية ضد أخطاء التكوين
يساعد RPKI أيضًا على منع أخطاء التكوين التي يمكن أن تؤدي إلى مشكلات في التوجيه. من خلال التحقق من صحة مسارات BGP، يمكن لمشغلي الشبكات التعرف بسرعة على مشكلات التكوين وتصحيحها قبل أن تؤثر على الاتصال بالشبكة.
سيناريوهات استخدام RPKI في MikroTik RouterOS
يتم استخدام BGP RPKI على MikroTik RouterOS في مجموعة متنوعة من السيناريوهات لتحسين أمان الشبكة وموثوقيتها. تتضمن بعض السيناريوهات الأكثر شيوعًا ما يلي:
مزودو خدمة الإنترنت (ISPs)
يقوم مزودو خدمة الإنترنت بتطبيق RPKI على أجهزة توجيه MikroTik RouterOS الخاصة بهم للتأكد من أن المسارات التي يعلن عنها عملاؤهم وشركاء الأعمال أصلية وآمنة. وهذا يساعد على منع اختطاف المسار وحماية سلامة الشبكة.
مؤسسات
يمكن للشركات التي تدير البنية التحتية للشبكة الخاصة بها استخدام RPKI لضمان الإعلان عن المسارات المعتمدة فقط في BGP. وهذا مهم بشكل خاص لحماية الاتصال وخصوصية البيانات على شبكاتك.
مراكز البيانات
يمكن لمراكز البيانات التي تقوم بتشغيل MikroTik RouterOS استخدام RPKI لتأمين مسارات التوجيه الداخلية الخاصة بها والتأكد من أن المسارات بين مراكز البيانات آمنة وأصلية.
مثال 1: تكوين RPKI الأساسي
الوصول إلى MikroTik CLI: أولاً، قم بالوصول إلى جهاز MikroTik الخاص بك باستخدام SSH أو من خلال وحدة التحكم.
قم بتكوين خادم ذاكرة التخزين المؤقت RPKI:
/ تمكين مجموعة bgp rpki = نعم
/ توجيه bgp rpki إضافة اسم = عنوان rpki-server1 = rpki.example.com
تحقق من الاتصال بخادم RPKI:
/ توجيه طباعة BGP Rpki
تمكين التحقق من صحة RPKI على طرق BGP:
/routing bgp مثيل تعيين الافتراضي rpki-validation=yes
عرض طرق BGP وحالة RPKI الخاصة بها:
/ توجيه طباعة إعلانات BGP
المثال 2: التنفيذ المتقدم باستخدام عوامل تصفية المسار
الوصول إلى MikroTik CLI: قم بتسجيل الدخول إلى جهاز MikroTik الخاص بك باستخدام SSH أو وحدة التحكم.
تكوين خوادم ذاكرة التخزين المؤقت RPKI المتعددة:
/ توجيه bgp rpki إضافة اسم = عنوان rpki-server1 = rpki1.example.com
/ توجيه bgp rpki إضافة اسم = عنوان rpki-server2 = rpki2.example.com
تفعيل التحقق من صحة RPKI:
/ تمكين مجموعة bgp rpki = نعم
قم بتكوين مرشحات طريق BGP للتحقق من صحة المسارات:
/ مرشح التوجيه إضافة سلسلة = RPKI-IN القاعدة = "إذا bgp-route-type = خارجي ثم { إذا كان rpki-validity = صالحًا، فاقبل وإلا ارفض }"
قم بتطبيق عامل التصفية على عملية BGP:
/routing bgp Peer set your-peer-name in-filter=RPKI-IN
مراجعة تكوين الطريق وحالته:
/ توجيه تفاصيل طباعة نظير BGP
/ توجيه طباعة إعلانات BGP
اختتام
يعد BGP RPKI على MikroTik RouterOS تقنية مهمة لتحسين الأمان والمصادقة في توجيه الإنترنت. فهو يسمح لمشغلي الشبكات بالتحقق من صحة مسارات BGP، ومنع اختطاف المسار، وحماية شبكاتهم من الإعلانات الضارة أو التي تم تكوينها بشكل خاطئ.
مع تزايد أهمية أمن الإنترنت، أصبح تنفيذ RPKI على MikroTik RouterOS أفضل الممارسات في سيناريوهات مختلفة، بدءًا من موفري خدمات الإنترنت وحتى المؤسسات ومراكز البيانات. يساهم اعتماد RPKI في MikroTik RouterOS في توفير إنترنت أكثر أمانًا وموثوقية.
مسابقة المعرفة وجيزة
ما رأيك في هذا المقال؟
هل تجرؤ على تقييم معرفتك المكتسبة؟
الكتاب الموصى به لهذه المادة
كتاب BGP وMPLS RouterOS v7
تم تحديث المواد الدراسية لدورة شهادة MTCINE إلى RouterOS v7
مقالات ذات صلة
- خدمة الشبكة المحلية الخاصة الافتراضية (VPLS): نهج متقدم للاتصال بالشبكة
- بروتوكول BGP: التاريخ والرسائل والتكوين على أجهزة MikroTik RouterOS
- تحسين الشبكة باستخدام هندسة المرور: تصميم تدفق بيانات فعال
- MPLS: تقنية متعددة الاستخدامات لتحسين الشبكات
- واجهات الاسترجاع: تعزيز الاستقرار والاتصال في الشبكات الحديثة