Ang Protocol ng Autonomous Edge System (BGP) Ito ang de facto na pamantayan para sa pagruruta sa Internet. Gayunpaman, sa paglipas ng mga taon, lalo itong naging madaling kapitan sa mga problema sa seguridad, tulad ng pag-hijack ng ruta at pagkalat ng maling impormasyon sa pagruruta.
Ito ay kung saan ang Resource Public Key Infrastructure (RPKI) ng BGP, isang teknolohiya na nagpapahusay sa seguridad at pagpapatunay sa mundo ng pagruruta ng Internet. Sa artikulong ito, tutuklasin natin ang mga pangunahing konsepto ng BGP RPKI sa MikroTik RouterOS, ang paggamit nito, at ang mga senaryo kung saan ito ay pinakanauugnay.
Sa dulo ng artikulo ay makikita mo ang isang maliit pagsusulit papayagan ka nito suriin ang kaalamang natamo sa pagbasang ito
Mga pangunahing konsepto ng RPKI at BGP
Bago tayo sumisid sa mga detalye ng RPKI sa MikroTik RouterOS, mahalagang maunawaan ang ilang pangunahing konsepto:
BGP (Border Gateway Protocol)
Ang BGP ay isang routing protocol na ginagamit upang makipagpalitan ng impormasyon sa pagruruta sa pagitan ng mga autonomous system sa Internet. Ito ay mahalaga para sa koneksyon at komunikasyon sa pagitan ng mga network at gumaganap ng isang mahalagang papel sa pagtukoy ng mga ruta na susundan ng trapiko sa Internet.
RPKI (Resource Public Key Infrastructure)
Ang RPKI ay isang balangkas ng seguridad na idinisenyo upang palakasin ang imprastraktura sa pagruruta ng Internet. Ang RPKI ay batay sa pampublikong key cryptography at gumagamit ng mga digital na sertipiko upang matiyak ang pagiging tunay ng impormasyon sa pagruruta.
ROA (Route Origin Authorization)
Ang ROA ay isang RPKI object na nag-uugnay ng IP address o network prefix sa isang autonomous system. Nagbibigay-daan ito sa mga network operator na tahasang ideklara kung sino ang awtorisadong mag-advertise ng isang partikular na prefix sa BGP.
Gamit ang RPKI sa MikroTik RouterOS
Ang MikroTik RouterOS, isang routing operating system na ginagamit sa iba't ibang network device, ay sumusuporta sa BGP RPKI. Ang pagpapatupad ng RPKI sa MikroTik RouterOS ay nagbibigay-daan sa mga operator ng network na protektahan ang kanilang mga ruta ng BGP mula sa mga malisyosong o maling pagkaka-configure na mga patalastas, sa gayo'y nagpapabuti sa seguridad at katatagan ng kanilang mga network. Narito ang ilang paraan na ginagamit ang RPKI sa MikroTik RouterOS:
Pagpapatunay ng ruta ng BGP
Maaaring i-verify ng MikroTik RouterOS ang pagiging tunay ng mga ruta ng BGP gamit ang RPKI. Kapag natanggap ang isang ruta ng BGP, susuriin ng router kung mayroong katumbas na ROA sa database ng RPKI. Kung walang nakitang tugma, maaaring markahan ng router ang ruta bilang hindi wasto o balewalain ito.
Mga ligtas na ad
Binibigyang-daan ng RPKI ang mga network operator na ideklara kung aling mga autonomous system ang awtorisadong mag-advertise ng mga partikular na ruta. Pinipigilan nito ang pag-hijack ng ruta at ang pagkalat ng maling impormasyon sa pagruruta, dahil ang mga awtorisadong advertisement lamang ang itinuturing na wasto.
Proteksyon laban sa mga error sa pagsasaayos
Tumutulong din ang RPKI na maiwasan ang mga error sa pagsasaayos na maaaring humantong sa mga problema sa pagruruta. Sa pamamagitan ng pag-validate sa mga ruta ng BGP, mabilis na matutukoy ng mga network operator ang mga isyu sa pagsasaayos at maitama ang mga ito bago sila makaapekto sa pagkakakonekta sa network.
Mga sitwasyon sa paggamit ng RPKI sa MikroTik RouterOS
Ang BGP RPKI sa MikroTik RouterOS ay ginagamit sa iba't ibang mga sitwasyon upang mapabuti ang seguridad at pagiging maaasahan ng network. Ang ilan sa mga pinakakaraniwang sitwasyon ay kinabibilangan ng:
Mga Internet Service Provider (ISP)
Ang mga ISP ay nagpapatupad ng RPKI sa kanilang mga MikroTik RouterOS router upang matiyak na ang mga ruta na ina-advertise ng kanilang mga customer at mga kasosyo sa negosyo ay tunay at secure. Nakakatulong ito na maiwasan ang pag-hijack ng ruta at protektahan ang integridad ng network.
Negosyo
Ang mga kumpanyang namamahala sa sarili nilang imprastraktura ng network ay maaaring gumamit ng RPKI upang matiyak na ang mga awtorisadong ruta lamang ang ina-advertise sa BGP. Ito ay lalong mahalaga upang maprotektahan ang pagkakakonekta at privacy ng data sa iyong mga network.
Mga sentro ng data
Ang mga data center na nagpapatakbo ng MikroTik RouterOS ay maaaring gumamit ng RPKI upang ma-secure ang kanilang mga panloob na ruta sa pagruruta at matiyak na ang mga ruta sa pagitan ng mga data center ay ligtas at tunay.
Halimbawa 1: Pangunahing Configuration ng RPKI
I-access ang MikroTik CLI: Una, i-access ang iyong MikroTik device gamit ang SSH o sa pamamagitan ng console.
I-configure ang isang RPKI Cache Server:
/routing bgp rpki set enabled=yes
/routing bgp rpki add name=rpki-server1 address=rpki.example.com
I-verify ang Koneksyon sa RPKI Server:
/routing bgp rpki print
I-enable ang RPKI Validation sa BGP Routes:
/routing bgp instance set default rpki-validation=yes
Tingnan ang Mga Ruta ng BGP at ang kanilang RPKI Status:
/routing bgp advertisements print
Halimbawa 2: Advanced na Pagpapatupad sa Mga Filter ng Ruta
I-access ang MikroTik CLI: Mag-log in sa iyong MikroTik device gamit ang SSH o ang console.
I-configure ang Maramihang RPKI Cache Server:
/routing bgp rpki add name=rpki-server1 address=rpki1.example.com
/routing bgp rpki add name=rpki-server2 address=rpki2.example.com
I-activate ang RPKI Validation:
/routing bgp rpki set enabled=yes
I-configure ang Mga Filter ng Ruta ng BGP upang Patunayan ang Mga Ruta:
/routing filter add chain=RPKI-IN rule="if bgp-route-type=external then { if rpki-validity=valid then accept else reject }"
Ilapat ang Filter sa Proseso ng BGP:
/routing bgp peer set your-peer-name in-filter=RPKI-IN
Suriin ang Configuration at Status ng Ruta:
/routing bgp peer print na detalye
/routing bgp advertisements print
Konklusyon
Ang BGP RPKI sa MikroTik RouterOS ay isang mahalagang teknolohiya upang mapabuti ang seguridad at pagpapatunay sa pagruruta ng Internet. Pinapayagan nito ang mga network operator na patunayan ang mga ruta ng BGP, maiwasan ang pag-hijack ng ruta, at protektahan ang kanilang mga network mula sa mga nakakahamak o maling pagkaka-configure na mga ad.
Habang lalong nagiging kritikal ang seguridad sa Internet, ang pagpapatupad ng RPKI sa MikroTik RouterOS ay nagiging pinakamahusay na kasanayan sa iba't ibang mga sitwasyon, mula sa Mga Internet Service Provider hanggang sa mga negosyo at data center. Ang pag-ampon ng RPKI sa MikroTik RouterOS ay nag-aambag sa isang mas secure at maaasahang Internet.
Maikling pagsusulit sa kaalaman
Ano sa palagay mo ang artikulong ito?
Naglakas-loob ka bang suriin ang iyong natutunang kaalaman?
Inirerekomendang aklat para sa artikulong ito
BGP at MPLS RouterOS v7 na aklat
Pag-aaral ng materyal para sa MTCINE Certification Course na na-update sa RouterOS v7
Kaugnay na mga Artikulo
- Virtual Private LAN Service (VPLS): Isang advanced na diskarte sa pagkakakonekta ng network
- BGP Protocol: History, mga mensahe at configuration sa MikroTik RouterOS device
- Network Optimization sa Traffic Engineering: Pagdidisenyo ng Mahusay na Daloy ng Data
- MPLS: Isang Maraming Gamit na Teknolohiya para Mag-optimize ng Mga Network
- Mga Loopback Interface: Pagpapalakas ng Katatagan at Pagkakakonekta sa Mga Makabagong Network