El Protocol de Sistema Autònom de Vora (BGP) és l'estàndard de facto per a l'encaminament a Internet. Tot i això, al llarg dels anys, s'ha tornat cada vegada més susceptible a problemes de seguretat, com el segrest de rutes i la propagació d'informació d'encaminament falsa.
Aquí és on entra en joc el Resource Public Key Infrastructure (RPKI) de BGP, una tecnologia que millora la seguretat i l'autenticació al món de l'encaminament d'Internet. En aquest article, explorarem els conceptes clau de RPKI de BGP a MikroTik RouterOS, el seu ús i els escenaris on és més rellevant.
Al final de l'article trobareu un petit prova que et permetrà avaluar els coneixements adquirits en aquesta lectura
Conceptes clau de RPKI i BGP
Abans de submergir-nos en els detalls de RPKI a MikroTik RouterOS, és fonamental entendre alguns conceptes clau:
BGP (Border Gateway Protocol)
BGP és un protocol d'encaminament que s'utilitza per intercanviar informació d'encaminament entre sistemes autònoms a Internet. És essencial per a la connectivitat i la comunicació entre xarxes i juga un paper crucial en la determinació de les rutes que seguirà el trànsit d'Internet.
RPKI (Resource Public Key Infrastructure)
RPKI és un marc de seguretat dissenyat per enfortir la infraestructura d'encaminament d'Internet. RPKI es basa en la criptografia de clau pública i utilitza certificats digitals per garantir l'autenticitat de la informació d'encaminament.
ROA (Route Origin Authorization)
Un ROA és un objecte RPKI que associa una adreça IP o un prefix de xarxa amb un sistema autònom. Això permet als operadors de xarxa declarar explícitament qui està autoritzat per anunciar un prefix específic a BGP.
Ús de RPKI a MikroTik RouterOS
MikroTik RouterOS, un sistema operatiu d'encaminament utilitzat en una varietat de dispositius de xarxa, és compatible amb RPKI de BGP. La implementació de RPKI a MikroTik RouterOS permet als operadors de xarxa protegir les rutes BGP d'anuncis maliciosos o mal configurats, millorant així la seguretat i l'estabilitat de les xarxes. Aquí hi ha algunes formes en què s'utilitza RPKI a MikroTik RouterOS:
Validació de rutes BGP
MikroTik RouterOS pot verificar l'autenticitat de les rutes BGP mitjançant RPKI. Quan es rep una ruta BGP, l'encaminador verifica si hi ha un ROA corresponent a la base de dades RPKI. Si no hi ha cap coincidència, l'encaminador pot marcar la ruta com a no vàlida o ignorar-la.
Anuncis segurs
RPKI permet als operadors de xarxa declarar quins sistemes autònoms estan autoritzats per anunciar rutes específiques. Això evita el segrest de rutes i la propagació d'informació d'encaminament falsa, ja que només els anuncis autoritzats es consideren vàlids.
Protecció contra errors de configuració
RPKI també ajuda a prevenir errors de configuració que poden portar a problemes d'encaminament. En validar les rutes BGP, els operadors de xarxa poden identificar ràpidament problemes a la configuració i corregir-los abans que afectin la connectivitat de la xarxa.
Escenaris d'ús de RPKI a MikroTik RouterOS
RPKI de BGP a MikroTik RouterOS es fa servir en una varietat d'escenaris per millorar la seguretat i la fiabilitat de les xarxes. Alguns dels escenaris més comuns inclouen:
Proveïdors de serveis d'Internet (ISP)
Els ISP implementen RPKI als seus encaminadors MikroTik RouterOS per garantir que les rutes anunciades pels seus clients i socis comercials siguin autèntiques i segures. Això ajuda a prevenir el segrest de rutes i protegir la integritat de la xarxa.
Empreses
Les empreses que gestionen la seva pròpia infraestructura de xarxa poden utilitzar RPKI per assegurar-se que només les rutes autoritzades s'anunciïn a BGP. Això és especialment important per protegir la connectivitat i la privadesa de les dades a les seves xarxes.
Centres de dades
Els centres de dades que executen MikroTik RouterOS poden utilitzar RPKI per protegir les vostres rutes d'encaminament intern i garantir que les rutes entre centres de dades siguin segures i autèntiques.
Exemple 1: Configuració Bàsica de RPKI
Accedir a la CLI de MikroTik: Primer, accediu al vostre dispositiu MikroTik mitjançant SSH o mitjançant la consola.
Configurar un Servidor RPKI Cache:
/routing bgp rpki set enabled=yes
/routing bgp rpki add name=rpki-server1 address=rpki.example.com
Verificar la Connexió amb el Servidor RPKI:
/routing bgp rpki print
Habilitar la Validació RPKI a les Rutes BGP:
/routing bgp instance set default rpki-validation=yes
Visualitzar Rutes BGP i el vostre Estat RPKI:
/routing bgp advertisements print
Exemple 2: Implementació avançada amb filtres de ruta
Accedir a la CLI de MikroTik: Inicia sessió al dispositiu MikroTik usant SSH o la consola.
Configurar Servidors RPKI Cache Múltiples:
/routing bgp rpki add name=rpki-server1 address=rpki1.example.com
/routing bgp rpki add name=rpki-server2 address=rpki2.example.com
Activar la Validació RPKI:
/routing bgp rpki set enabled=yes
Configurar Filtres de Ruta BGP per Validar Rutes:
/routing filter add chain=RPKI-IN rule="if bgp-route-type=external then { if rpki-validity=valid then accept else reject }"
Aplicar el Filtre al Procés BGP:
/routing bgp peer set your-peer-name in-filter=RPKI-IN
Reviseu la Configuració i l'Estat de les Rutes:
/routing bgp peer print detail
/routing bgp advertisements print
Conclusió
RPKI de BGP a MikroTik RouterOS és una tecnologia important per millorar la seguretat i l'autenticació a l'encaminament d'Internet. Permet als operadors de xarxa validar rutes BGP, prevenir el segrest de rutes i protegir les xarxes contra anuncis maliciosos o mal configurats.
A mesura que la seguretat a Internet es torna cada cop més crítica, la implementació de RPKI a MikroTik RouterOS es converteix en una pràctica recomanada en diversos escenaris, des de proveïdors de serveis d'Internet fins a empreses i centres de dades. L'adopció de RPKI a MikroTik RouterOS contribueix a un Internet més segur i fiable.
Breu qüestionari de coneixements
Què et va semblar aquest article?
T'atreveixes a avaluar els teus coneixements apresos?
Llibre recomanat per a aquest article
Llibre BGP i MPLS RouterOS v7
Material d'estudi per al Curs de Certificació MTCINE actualitzat a RouterOS v7
articles Relacionats
- Virtual Private LAN Service (VPLS): Un enfocament avançat per a la connectivitat de xarxes
- Protocol BGP: Història, missatges i configuració en equips MikroTik RouterOS
- Optimització de Xarxes amb Traffic Engineering: Dissenyant el Flux Eficient de Dades
- MPLS: Una Tecnologia Versàtil per Optimitzar les Xarxes
- Interfícies Loopback: Potenciant l'Estabilitat i la Connectivitat a Xarxes Modernes