의정서 자율 엣지 시스템(BGP) 이는 인터넷 라우팅에 대한 사실상의 표준입니다. 그러나 수년이 지나면서 경로 하이재킹, 허위 라우팅 정보 확산 등 보안 문제에 점점 더 취약해졌습니다.
이것은 리소스 공개 키 인프라(RPKI) 인터넷 라우팅 세계에서 보안과 인증을 향상시키는 기술인 BGP의 개념입니다. 이 기사에서는 MikroTik RouterOS에서 BGP RPKI의 주요 개념, 사용법 및 가장 관련성이 높은 시나리오를 살펴보겠습니다.
기사의 마지막 부분에서 작은 내용을 찾을 수 있습니다. test 그것은 당신을 허용합니다 평가하다 이번 독서를 통해 얻은 지식
RPKI 및 BGP의 주요 개념
MikroTik RouterOS에서 RPKI에 대해 자세히 알아보기 전에 몇 가지 주요 개념을 이해하는 것이 중요합니다.
BGP (테두리 게이트웨이 프로토콜)
BGP는 인터넷의 자율 시스템 간에 라우팅 정보를 교환하는 데 사용되는 라우팅 프로토콜입니다. 이는 네트워크 간의 연결과 통신에 필수적이며 인터넷 트래픽이 따라갈 경로를 결정하는 데 중요한 역할을 합니다.
RPKI(리소스 공개 키 인프라)
RPKI는 인터넷의 라우팅 인프라를 강화하기 위해 설계된 보안 프레임워크입니다. RPKI는 공개 키 암호화를 기반으로 하며 디지털 인증서를 사용하여 라우팅 정보의 신뢰성을 보장합니다.
ROA(경로 출발지 승인)
ROA는 IP 주소 또는 네트워크 접두사를 자율 시스템과 연결하는 RPKI 개체입니다. 이를 통해 네트워크 운영자는 BGP에서 특정 접두사를 광고할 권한이 있는 사람을 명시적으로 선언할 수 있습니다.
MikroTik RouterOS에서 RPKI 사용
다양한 네트워크 장치에서 사용되는 라우팅 운영 체제인 MikroTik RouterOS는 BGP RPKI를 지원합니다. MikroTik RouterOS에 RPKI를 구현하면 네트워크 운영자는 악의적이거나 잘못 구성된 광고로부터 BGP 경로를 보호하여 네트워크의 보안과 안정성을 향상시킬 수 있습니다. MikroTik RouterOS에서 RPKI가 사용되는 몇 가지 방법은 다음과 같습니다.
BGP 경로 검증
MikroTik RouterOS는 RPKI를 사용하여 BGP 경로의 신뢰성을 확인할 수 있습니다. BGP 경로가 수신되면 라우터는 RPKI 데이터베이스에 해당 ROA가 있는지 확인합니다. 일치하는 항목이 없으면 라우터는 경로를 유효하지 않은 것으로 표시하거나 무시할 수 있습니다.
안전한 광고
RPKI를 사용하면 네트워크 운영자는 어떤 자율 시스템이 특정 경로를 광고하도록 승인되었는지 선언할 수 있습니다. 이는 승인된 광고만 유효한 것으로 간주되므로 경로 하이재킹과 잘못된 라우팅 정보의 확산을 방지합니다.
구성 오류로부터 보호
RPKI는 또한 라우팅 문제를 일으킬 수 있는 구성 오류를 방지하는 데도 도움이 됩니다. BGP 경로를 검증함으로써 네트워크 운영자는 구성 문제를 신속하게 식별하고 네트워크 연결에 영향을 미치기 전에 수정할 수 있습니다.
MikroTik RouterOS의 RPKI 사용 시나리오
MikroTik RouterOS의 BGP RPKI는 네트워크 보안과 안정성을 향상시키기 위해 다양한 시나리오에서 사용됩니다. 가장 일반적인 시나리오 중 일부는 다음과 같습니다.
인터넷 서비스 공급자(ISP)
ISP는 MikroTik RouterOS 라우터에 RPKI를 구현하여 고객과 비즈니스 파트너가 광고하는 경로가 확실하고 안전한지 확인합니다. 이는 경로 하이재킹을 방지하고 네트워크 무결성을 보호하는 데 도움이 됩니다.
사업
자체 네트워크 인프라를 관리하는 회사는 RPKI를 사용하여 승인된 경로만 BGP에 광고되도록 할 수 있습니다. 이는 네트워크의 연결 및 데이터 개인정보 보호를 위해 특히 중요합니다.
데이터 센터
MikroTik RouterOS를 실행하는 데이터 센터는 RPKI를 사용하여 내부 라우팅 경로를 보호하고 데이터 센터 간의 경로가 안전하고 신뢰할 수 있는지 확인할 수 있습니다.
예 1: 기본 RPKI 구성
MikroTik CLI에 액세스: 먼저 SSH를 사용하거나 콘솔을 통해 MikroTik 장치에 액세스하세요.
RPKI 캐시 서버 구성:
/routing bgp rpki set 활성화=예
/routing bgp rpki 추가 이름=rpki-server1 주소=rpki.example.com
RPKI 서버와의 연결 확인:
/routing bgp rpki 인쇄
BGP 경로에서 RPKI 검증 활성화:
/routing bgp 인스턴스 설정 기본값 rpki-validation=yes
BGP 경로 및 해당 RPKI 상태 보기:
/routing bgp 광고 인쇄
예 2: 경로 필터를 사용한 고급 구현
MikroTik CLI에 액세스: SSH 또는 콘솔을 사용하여 MikroTik 장치에 로그인합니다.
여러 RPKI 캐시 서버 구성:
/routing bgp rpki 추가 이름=rpki-server1 주소=rpki1.example.com
/routing bgp rpki 추가 이름=rpki-server2 주소=rpki2.example.com
RPKI 검증 활성화:
/routing bgp rpki set 활성화=예
경로 검증을 위해 BGP 경로 필터 구성:
/라우팅 필터 체인 추가=RPKI-IN 규칙="bgp-route-type=external인 경우 { rpki-validity=valid인 경우 수락하고 그렇지 않은 경우 거부 }"
BGP 프로세스에 필터 적용:
/routing bgp 피어 설정 your-peer-name in-filter=RPKI-IN
경로 구성 및 상태 검토:
/routing bgp 피어 인쇄 세부정보
/routing bgp 광고 인쇄
결론
MikroTik RouterOS의 BGP RPKI는 인터넷 라우팅의 보안 및 인증을 향상시키는 중요한 기술입니다. 이를 통해 네트워크 운영자는 BGP 경로를 검증하고 경로 하이재킹을 방지하며 악의적이거나 잘못 구성된 광고로부터 네트워크를 보호할 수 있습니다.
인터넷 보안이 점점 더 중요해짐에 따라 MikroTik RouterOS에서 RPKI를 구현하는 것은 인터넷 서비스 공급자부터 기업 및 데이터 센터에 이르기까지 다양한 시나리오에서 모범 사례가 되었습니다. MikroTik RouterOS에서 RPKI를 채택하면 보다 안전하고 안정적인 인터넷에 기여할 수 있습니다.