O Protocolo de Sistema de Borda Autônomo (BGP) É o padrão de fato para roteamento na Internet. No entanto, ao longo dos anos, tornou-se cada vez mais suscetível a problemas de segurança, como o sequestro de rotas e a disseminação de informações falsas de roteamento.
É aqui que o Infraestrutura de chave pública de recursos (RPKI) do BGP, uma tecnologia que melhora a segurança e a autenticação no mundo do roteamento da Internet. Neste artigo, exploraremos os principais conceitos do BGP RPKI no MikroTik RouterOS, seu uso e os cenários onde é mais relevante.
No final do artigo você encontrará um pequeno teste isso vai permitir a você avaliar o conhecimento adquirido nesta leitura
Conceitos-chave de RPKI e BGP
Antes de mergulharmos nos detalhes do RPKI no MikroTik RouterOS, é essencial entender alguns conceitos-chave:
BGP (protocolo de gateway de fronteira)
BGP é um protocolo de roteamento usado para trocar informações de roteamento entre sistemas autônomos na Internet. É essencial para a conectividade e comunicação entre redes e desempenha um papel crucial na determinação das rotas que o tráfego da Internet seguirá.
RPKI (Infraestrutura de Chave Pública de Recursos)
RPKI é uma estrutura de segurança projetada para fortalecer a infraestrutura de roteamento da Internet. O RPKI é baseado em criptografia de chave pública e utiliza certificados digitais para garantir a autenticidade das informações de roteamento.
ROA (autorização de origem de rota)
Um ROA é um objeto RPKI que associa um endereço IP ou prefixo de rede a um sistema autônomo. Isto permite que os operadores de rede declarem explicitamente quem está autorizado a anunciar um prefixo específico no BGP.
Usando RPKI no MikroTik RouterOS
MikroTik RouterOS, um sistema operacional de roteamento usado em uma variedade de dispositivos de rede, suporta BGP RPKI. A implementação do RPKI no MikroTik RouterOS permite que os operadores de rede protejam suas rotas BGP contra anúncios maliciosos ou mal configurados, melhorando assim a segurança e a estabilidade de suas redes. Aqui estão algumas maneiras pelas quais o RPKI é usado no MikroTik RouterOS:
Validação de rota BGP
MikroTik RouterOS pode verificar a autenticidade de rotas BGP usando RPKI. Quando uma rota BGP é recebida, o roteador verifica se existe um ROA correspondente no banco de dados RPKI. Se nenhuma correspondência for encontrada, o roteador poderá marcar a rota como inválida ou ignorá-la.
Anúncios seguros
O RPKI permite que os operadores de rede declarem quais sistemas autônomos estão autorizados a anunciar rotas específicas. Isso evita o sequestro de rotas e a disseminação de informações falsas de roteamento, uma vez que apenas anúncios autorizados são considerados válidos.
Proteção contra erros de configuração
O RPKI também ajuda a evitar erros de configuração que podem levar a problemas de roteamento. Ao validar rotas BGP, os operadores de rede podem identificar rapidamente problemas de configuração e corrigi-los antes que afetem a conectividade da rede.
Cenários de uso de RPKI no MikroTik RouterOS
O BGP RPKI no MikroTik RouterOS é usado em vários cenários para melhorar a segurança e a confiabilidade da rede. Alguns dos cenários mais comuns incluem:
Provedores de Serviços de Internet (ISPs)
Os ISPs implementam RPKI em seus roteadores MikroTik RouterOS para garantir que as rotas anunciadas por seus clientes e parceiros de negócios sejam autênticas e seguras. Isso ajuda a evitar o sequestro de rotas e a proteger a integridade da rede.
empresas
As empresas que gerenciam sua própria infraestrutura de rede podem usar o RPKI para garantir que apenas as rotas autorizadas sejam anunciadas no BGP. Isto é especialmente importante para proteger a conectividade e a privacidade dos dados nas suas redes.
Data centers
Os data centers que executam o MikroTik RouterOS podem usar RPKI para proteger suas rotas de roteamento internas e garantir que as rotas entre os data centers sejam seguras e autênticas.
Exemplo 1: Configuração Básica de RPKI
Acesse a CLI do MikroTik: Primeiro, acesse seu dispositivo MikroTik usando SSH ou através do console.
Configurar um servidor de cache RPKI:
/routing bgp rpki set habilitado = sim
/routing bgp rpki adicionar nome=rpki-server1 endereço=rpki.example.com
Verifique a conexão com o servidor RPKI:
/ roteamento bgp rpki imprimir
Habilite a validação RPKI em rotas BGP:
/routing instância bgp definir padrão rpki-validation=yes
Visualize rotas BGP e seu status RPKI:
/ roteamento de anúncios BGP imprimir
Exemplo 2: Implementação Avançada com Filtros de Rota
Acesse a CLI do MikroTik: Faça login no seu dispositivo MikroTik usando SSH ou console.
Configurar vários servidores de cache RPKI:
/routing bgp rpki adicionar nome=rpki-server1 endereço=rpki1.example.com
/routing bgp rpki adicionar nome=rpki-server2 endereço=rpki2.example.com
Ativar validação RPKI:
/routing bgp rpki set habilitado = sim
Configurar filtros de rota BGP para validar rotas:
/ filtro de roteamento adicionar cadeia = regra RPKI-IN = "se bgp-route-type = externo então { se rpki-validity = válido então aceite, caso contrário, rejeite}"
Aplicar o filtro ao processo BGP:
/routing bgp peer set your-peer-name in-filter=RPKI-IN
Revise a configuração e o status da rota:
/routing BGP peer print detalhe
/ roteamento de anúncios BGP imprimir
Conclusão
BGP RPKI no MikroTik RouterOS é uma tecnologia importante para melhorar a segurança e autenticação no roteamento da Internet. Ele permite que os operadores de rede validem rotas BGP, evitem o sequestro de rotas e protejam suas redes contra anúncios maliciosos ou mal configurados.
À medida que a segurança da Internet se torna cada vez mais crítica, a implementação do RPKI no MikroTik RouterOS torna-se uma prática recomendada em vários cenários, desde provedores de serviços de Internet até empresas e data centers. A adoção do RPKI no MikroTik RouterOS contribui para uma Internet mais segura e confiável.
Breve teste de conhecimento
O que você acha deste artigo?
Você tem coragem de avaliar seu conhecimento aprendido?
Livro recomendado para este artigo
Livro BGP e MPLS RouterOS v7
Material de estudo do Curso de Certificação MTCINE atualizado para RouterOS v7
Artigos relacionados
- Virtual Private LAN Service (VPLS): Uma abordagem avançada para conectividade de rede
- Protocolo BGP: Histórico, mensagens e configuração em dispositivos MikroTik RouterOS
- Otimização de rede com engenharia de tráfego: projetando fluxo de dados eficiente
- MPLS: uma tecnologia versátil para otimizar redes
- Interfaces Loopback: Aumentando a Estabilidade e a Conectividade em Redes Modernas