Il Protocollo di Sistema Edge autonomo (BGP) È lo standard de facto per il routing su Internet. Tuttavia, nel corso degli anni, è diventato sempre più suscettibile ai problemi di sicurezza, come il dirottamento del percorso e la diffusione di informazioni di routing false.
Qui è dove il file Infrastruttura a chiave pubblica delle risorse (RPKI) di BGP, una tecnologia che migliora la sicurezza e l'autenticazione nel mondo del routing Internet. In questo articolo esploreremo i concetti chiave di BGP RPKI in MikroTik RouterOS, il suo utilizzo e gli scenari in cui è più rilevante.
Alla fine dell'articolo troverai un piccolo test quello ti permetterà valutare le conoscenze acquisite in questa lettura
Concetti chiave di RPKI e BGP
Prima di immergerci nei dettagli di RPKI in MikroTik RouterOS, è essenziale comprendere alcuni concetti chiave:
BGP (protocollo gateway di frontiera)
BGP è un protocollo di routing utilizzato per scambiare informazioni di routing tra sistemi autonomi su Internet. È essenziale per la connettività e la comunicazione tra le reti e svolge un ruolo cruciale nel determinare i percorsi che seguirà il traffico Internet.
RPKI (infrastruttura a chiave pubblica di risorse)
RPKI è un framework di sicurezza progettato per rafforzare l'infrastruttura di routing di Internet. RPKI si basa sulla crittografia a chiave pubblica e utilizza certificati digitali per garantire l'autenticità delle informazioni di instradamento.
ROA (Autorizzazione dell'origine del percorso)
Un ROA è un oggetto RPKI che associa un indirizzo IP o un prefisso di rete a un sistema autonomo. Ciò consente agli operatori di rete di dichiarare esplicitamente chi è autorizzato a pubblicizzare un prefisso specifico in BGP.
Utilizzo di RPKI in MikroTik RouterOS
MikroTik RouterOS, un sistema operativo di routing utilizzato in una varietà di dispositivi di rete, supporta BGP RPKI. L'implementazione di RPKI in MikroTik RouterOS consente agli operatori di rete di proteggere i propri percorsi BGP da pubblicità dannose o mal configurate, migliorando così la sicurezza e la stabilità delle proprie reti. Ecco alcuni modi in cui RPKI viene utilizzato in MikroTik RouterOS:
Convalida del percorso BGP
MikroTik RouterOS può verificare l'autenticità dei percorsi BGP utilizzando RPKI. Quando viene ricevuta una route BGP, il router controlla se esiste una ROA corrispondente nel database RPKI. Se non viene trovata alcuna corrispondenza, il router può contrassegnare il percorso come non valido o ignorarlo.
Annunci sicuri
RPKI consente agli operatori di rete di dichiarare quali sistemi autonomi sono autorizzati a pubblicizzare percorsi specifici. Ciò impedisce il dirottamento del percorso e la diffusione di informazioni di routing false, poiché solo gli annunci pubblicitari autorizzati sono considerati validi.
Protezione contro errori di configurazione
RPKI aiuta anche a prevenire errori di configurazione che possono portare a problemi di routing. Convalidando i percorsi BGP, gli operatori di rete possono identificare rapidamente i problemi di configurazione e correggerli prima che incidano sulla connettività di rete.
Scenari di utilizzo RPKI in MikroTik RouterOS
BGP RPKI su MikroTik RouterOS viene utilizzato in una varietà di scenari per migliorare la sicurezza e l'affidabilità della rete. Alcuni degli scenari più comuni includono:
Provider di servizi Internet (ISP)
Gli ISP implementano RPKI sui propri router MikroTik RouterOS per garantire che i percorsi pubblicizzati dai propri clienti e partner commerciali siano autentici e sicuri. Ciò aiuta a prevenire il dirottamento del percorso e a proteggere l'integrità della rete.
Aziende
Le aziende che gestiscono la propria infrastruttura di rete possono utilizzare RPKI per garantire che solo i percorsi autorizzati vengano pubblicizzati in BGP. Ciò è particolarmente importante per proteggere la connettività e la privacy dei dati sulle reti.
Centri dati
I data center che eseguono MikroTik RouterOS possono utilizzare RPKI per proteggere i propri percorsi di routing interni e garantire che i percorsi tra i data center siano sicuri e autentici.
Esempio 1: configurazione RPKI di base
Accedi alla CLI MikroTik: Innanzitutto, accedi al tuo dispositivo MikroTik utilizzando SSH o tramite la console.
Configurare un server di cache RPKI:
/routing bgp rpki set abilitato=sì
/routing bgp rpki add nome=rpki-server1 indirizzo=rpki.esempio.com
Verificare la connessione con il server RPKI:
/routing bgp rpki stampa
Abilita la convalida RPKI sulle rotte BGP:
/routing istanza bgp imposta rpki-validation predefinita=yes
Visualizza le rotte BGP e il loro stato RPKI:
/routing stampa annunci bgp
Esempio 2: implementazione avanzata con filtri di percorso
Accedi alla CLI MikroTik: accedi al tuo dispositivo MikroTik utilizzando SSH o la console.
Configura più server di cache RPKI:
/routing bgp rpki add nome=rpki-server1 indirizzo=rpki1.esempio.com
/routing bgp rpki add nome=rpki-server2 indirizzo=rpki2.esempio.com
Attiva la convalida RPKI:
/routing bgp rpki set abilitato=sì
Configura i filtri delle rotte BGP per convalidare le rotte:
/filtro di routing aggiungi catena=RPKI-IN regola="se bgp-route-type=esterno allora { se rpki-validity=valid allora accetta altrimenti rifiuta }"
Applicare il filtro al processo BGP:
/routing bgp peer imposta il tuo nome peer in-filter=RPKI-IN
Esaminare la configurazione e lo stato del percorso:
/routing dettagli stampa peer bgp
/routing stampa annunci bgp
Conclusione
BGP RPKI su MikroTik RouterOS è una tecnologia importante per migliorare la sicurezza e l'autenticazione nel routing Internet. Consente agli operatori di rete di convalidare i percorsi BGP, prevenire il dirottamento dei percorsi e proteggere le proprie reti da pubblicità dannose o mal configurate.
Poiché la sicurezza Internet diventa sempre più critica, l'implementazione di RPKI su MikroTik RouterOS diventa una best practice in vari scenari, dai provider di servizi Internet alle aziende e ai data center. L'adozione di RPKI in MikroTik RouterOS contribuisce a rendere Internet più sicuro e affidabile.
Breve quiz conoscitivo
Cosa pensi di questo articolo?
Hai il coraggio di valutare le tue conoscenze apprese?
Libro consigliato per questo articolo
Libro BGP e MPLS RouterOS v7
Materiale di studio per il Corso di Certificazione MTCINE aggiornato a RouterOS v7
articoli correlati
- Servizio Virtual Private LAN (VPLS): un approccio avanzato alla connettività di rete
- Protocollo BGP: cronologia, messaggi e configurazione sui dispositivi MikroTik RouterOS
- Ottimizzazione della rete con l'ingegneria del traffico: progettazione di un flusso di dati efficiente
- MPLS: una tecnologia versatile per ottimizzare le reti
- Interfacce di loopback: aumentare la stabilità e la connettività nelle reti moderne