พิธีสารของ ระบบขอบอัตโนมัติ (BGP) เป็นมาตรฐานโดยพฤตินัยสำหรับการกำหนดเส้นทางบนอินเทอร์เน็ต อย่างไรก็ตาม ในช่วงหลายปีที่ผ่านมา ปัญหาด้านความปลอดภัยเริ่มมีความอ่อนไหวมากขึ้น เช่น การไฮแจ็กเส้นทางและการแพร่กระจายของข้อมูลเส้นทางที่เป็นเท็จ
นี่คือที่ โครงสร้างพื้นฐานคีย์สาธารณะของทรัพยากร (RPKI) ของ BGP ซึ่งเป็นเทคโนโลยีที่ปรับปรุงความปลอดภัยและการรับรองความถูกต้องในโลกของการกำหนดเส้นทางอินเทอร์เน็ต ในบทความนี้ เราจะสำรวจแนวคิดหลักของ BGP RPKI ใน MikroTik RouterOS การใช้งาน และสถานการณ์ที่เกี่ยวข้องมากที่สุด
ในตอนท้ายของบทความคุณจะพบกับสิ่งเล็ก ๆ น้อย ๆ ทดสอบ ที่จะช่วยให้คุณ ประเมิน ความรู้ที่ได้รับจากการอ่านครั้งนี้
แนวคิดหลักของ RPKI และ BGP
ก่อนที่เราจะเจาะลึกรายละเอียดของ RPKI ใน MikroTik RouterOS จำเป็นอย่างยิ่งที่จะต้องเข้าใจแนวคิดหลักบางประการ:
BGP (โปรโตคอล Border Gateway)
BGP เป็นโปรโตคอลการกำหนดเส้นทางที่ใช้ในการแลกเปลี่ยนข้อมูลการกำหนดเส้นทางระหว่างระบบอัตโนมัติบนอินเทอร์เน็ต มันเป็นสิ่งจำเป็นสำหรับการเชื่อมต่อและการสื่อสารระหว่างเครือข่าย และมีบทบาทสำคัญในการกำหนดเส้นทางที่การรับส่งข้อมูลอินเทอร์เน็ตจะเป็นไปตาม
RPKI (โครงสร้างพื้นฐานคีย์สาธารณะของทรัพยากร)
RPKI เป็นกรอบการทำงานด้านความปลอดภัยที่ออกแบบมาเพื่อเสริมความแข็งแกร่งให้กับโครงสร้างพื้นฐานการกำหนดเส้นทางของอินเทอร์เน็ต RPKI ขึ้นอยู่กับการเข้ารหัสคีย์สาธารณะและใช้ใบรับรองดิจิทัลเพื่อรับรองความถูกต้องของข้อมูลเส้นทาง
ROA (การอนุญาตแหล่งกำเนิดเส้นทาง)
ROA เป็นวัตถุ RPKI ที่เชื่อมโยงที่อยู่ IP หรือคำนำหน้าเครือข่ายกับระบบอัตโนมัติ ซึ่งช่วยให้ผู้ให้บริการเครือข่ายประกาศอย่างชัดเจนว่าใครได้รับอนุญาตให้โฆษณาคำนำหน้าเฉพาะใน BGP
การใช้ RPKI ใน MikroTik RouterOS
MikroTik RouterOS ซึ่งเป็นระบบปฏิบัติการการกำหนดเส้นทางที่ใช้ในอุปกรณ์เครือข่ายที่หลากหลาย รองรับ BGP RPKI การใช้ RPKI ใน MikroTik RouterOS ช่วยให้ผู้ให้บริการเครือข่ายสามารถปกป้องเส้นทาง BGP ของตนจากโฆษณาที่เป็นอันตรายหรือกำหนดค่าไม่ถูกต้อง ดังนั้นจึงปรับปรุงความปลอดภัยและเสถียรภาพของเครือข่ายของตน ต่อไปนี้เป็นวิธีการใช้ RPKI ใน MikroTik RouterOS:
การตรวจสอบเส้นทาง BGP
MikroTik RouterOS สามารถตรวจสอบความถูกต้องของเส้นทาง BGP โดยใช้ RPKI เมื่อได้รับเส้นทาง BGP เราเตอร์จะตรวจสอบว่ามี ROA ที่เกี่ยวข้องอยู่ในฐานข้อมูล RPKI หรือไม่ หากไม่พบรายการที่ตรงกัน เราเตอร์สามารถทำเครื่องหมายเส้นทางว่าไม่ถูกต้องหรือเพิกเฉยได้
โฆษณาที่ปลอดภัย
RPKI อนุญาตให้ผู้ให้บริการเครือข่ายประกาศว่าระบบอัตโนมัติใดที่ได้รับอนุญาตให้โฆษณาเส้นทางเฉพาะ วิธีนี้จะป้องกันการขโมยเส้นทางและการแพร่กระจายของข้อมูลเส้นทางที่เป็นเท็จ เนื่องจากมีเพียงโฆษณาที่ได้รับอนุญาตเท่านั้นที่ถือว่าถูกต้อง
ป้องกันข้อผิดพลาดในการกำหนดค่า
RPKI ยังช่วยป้องกันข้อผิดพลาดในการกำหนดค่าที่อาจนำไปสู่ปัญหาการกำหนดเส้นทาง ด้วยการตรวจสอบเส้นทาง BGP ผู้ให้บริการเครือข่ายสามารถระบุปัญหาการกำหนดค่าได้อย่างรวดเร็วและแก้ไขก่อนที่จะส่งผลกระทบต่อการเชื่อมต่อเครือข่าย
สถานการณ์การใช้งาน RPKI ใน MikroTik RouterOS
BGP RPKI บน MikroTik RouterOS ใช้ในสถานการณ์ต่างๆ เพื่อปรับปรุงความปลอดภัยและความน่าเชื่อถือของเครือข่าย สถานการณ์ทั่วไปบางส่วนได้แก่:
ผู้ให้บริการอินเทอร์เน็ต (ISP)
ISP ใช้ RPKI บนเราเตอร์ MikroTik RouterOS เพื่อให้แน่ใจว่าเส้นทางที่ลูกค้าและพันธมิตรทางธุรกิจโฆษณาไว้นั้นมีความถูกต้องและปลอดภัย ซึ่งจะช่วยป้องกันการไฮแจ็กเส้นทางและปกป้องความสมบูรณ์ของเครือข่าย
งาน
บริษัทที่จัดการโครงสร้างพื้นฐานเครือข่ายของตนเองสามารถใช้ RPKI เพื่อให้แน่ใจว่ามีการโฆษณาเฉพาะเส้นทางที่ได้รับอนุญาตใน BGP นี่เป็นสิ่งสำคัญอย่างยิ่งในการปกป้องการเชื่อมต่อและความเป็นส่วนตัวของข้อมูลบนเครือข่ายของคุณ
ศูนย์ข้อมูล
ศูนย์ข้อมูลที่ใช้ MikroTik RouterOS สามารถใช้ RPKI เพื่อปกป้องเส้นทางการกำหนดเส้นทางภายใน และตรวจสอบให้แน่ใจว่าเส้นทางระหว่างศูนย์ข้อมูลมีความปลอดภัยและเป็นของแท้
ตัวอย่างที่ 1: การกำหนดค่า RPKI พื้นฐาน
เข้าถึง MikroTik CLI: ขั้นแรก เข้าถึงอุปกรณ์ MikroTik ของคุณโดยใช้ SSH หรือผ่านคอนโซล
กำหนดค่าเซิร์ฟเวอร์แคช RPKI:
/ การกำหนดเส้นทาง bgp rpki ตั้งค่าที่เปิดใช้งาน = ใช่
/การกำหนดเส้นทาง bgp rpki เพิ่ม name=rpki-server1 address=rpki.example.com
ตรวจสอบการเชื่อมต่อกับเซิร์ฟเวอร์ RPKI:
/ การกำหนดเส้นทางการพิมพ์ bgp rpki
เปิดใช้งานการตรวจสอบ RPKI บนเส้นทาง BGP:
/routing bgp instance ตั้งค่าเริ่มต้น rpki-validation=yes
ดูเส้นทาง BGP และสถานะ RPKI:
/กำหนดเส้นทางการพิมพ์โฆษณา bgp
ตัวอย่างที่ 2: การใช้งานขั้นสูงด้วยตัวกรองเส้นทาง
เข้าถึง MikroTik CLI: ลงชื่อเข้าใช้อุปกรณ์ MikroTik ของคุณโดยใช้ SSH หรือคอนโซล
กำหนดค่าเซิร์ฟเวอร์แคช RPKI หลายเครื่อง:
/ การกำหนดเส้นทาง bgp rpki เพิ่ม name=rpki-server1 address=rpki1.example.com
/ การกำหนดเส้นทาง bgp rpki เพิ่ม name=rpki-server2 address=rpki2.example.com
เปิดใช้งานการตรวจสอบ RPKI:
/ การกำหนดเส้นทาง bgp rpki ตั้งค่าที่เปิดใช้งาน = ใช่
กำหนดค่าตัวกรองเส้นทาง BGP เพื่อตรวจสอบเส้นทาง:
/ ตัวกรองการกำหนดเส้นทางเพิ่ม chain=RPKI-IN กฎ = "ถ้า bgp-route-type=external แล้ว { ถ้า rpki-validity=valid ให้ยอมรับอย่างอื่นปฏิเสธ }"
ใช้ตัวกรองกับกระบวนการ BGP:
/routing bgp peer ตั้งค่า your-peer-name ในตัวกรอง = RPKI-IN
ตรวจสอบการกำหนดค่าเส้นทางและสถานะ:
/routing bgp peer รายละเอียดการพิมพ์
/กำหนดเส้นทางการพิมพ์โฆษณา bgp
ข้อสรุป
BGP RPKI บน MikroTik RouterOS เป็นเทคโนโลยีที่สำคัญในการปรับปรุงความปลอดภัยและการรับรองความถูกต้องในการกำหนดเส้นทางอินเทอร์เน็ต ช่วยให้ผู้ให้บริการเครือข่ายสามารถตรวจสอบเส้นทาง BGP ป้องกันการไฮแจ็กเส้นทาง และปกป้องเครือข่ายจากโฆษณาที่เป็นอันตรายหรือกำหนดค่าไม่ถูกต้อง
เนื่องจากความปลอดภัยของอินเทอร์เน็ตมีความสำคัญมากขึ้น การใช้ RPKI บน MikroTik RouterOS จึงกลายเป็นแนวทางปฏิบัติที่ดีที่สุดในสถานการณ์ต่างๆ ตั้งแต่ผู้ให้บริการอินเทอร์เน็ตไปจนถึงองค์กรและศูนย์ข้อมูล การใช้ RPKI ใน MikroTik RouterOS ช่วยให้อินเทอร์เน็ตมีความปลอดภัยและเชื่อถือได้มากขึ้น
แบบทดสอบความรู้สั้นๆ
คุณคิดอย่างไรกับบทความนี้?
คุณกล้าที่จะประเมินความรู้ที่คุณเรียนมาหรือไม่?
หนังสือแนะนำสำหรับบทความนี้
หนังสือ BGP และ MPLS RouterOS v7
เอกสารการศึกษาสำหรับหลักสูตรการรับรอง MTCINE อัปเดตเป็น RouterOS v7
บทความที่เกี่ยวข้อง
- Virtual Private LAN Service (VPLS): แนวทางขั้นสูงในการเชื่อมต่อเครือข่าย
- โปรโตคอล BGP: ประวัติ ข้อความ และการกำหนดค่าบนอุปกรณ์ MikroTik RouterOS
- การเพิ่มประสิทธิภาพเครือข่ายด้วยวิศวกรรมการรับส่งข้อมูล: การออกแบบการไหลของข้อมูลที่มีประสิทธิภาพ
- MPLS: เทคโนโลยีอเนกประสงค์เพื่อเพิ่มประสิทธิภาพเครือข่าย
- อินเทอร์เฟซแบบลูปแบ็ค: เพิ่มความเสถียรและการเชื่อมต่อในเครือข่ายสมัยใหม่