Regionaler Internet Exchange für das Rheintal
Header

RPKI am Rheintal-IX

Was ist RPKI?

Zur Verbesserung der Sicherheit des BGPs wurde die Resource Public Key Infrastructure (RPKI) entwickelt. Dazu gehören zum einen das RPKI-Router Protokoll (RTR) zum Austausch der RPKI-Daten, zum anderen die Gültigkeitsprüfung der Verknüpfung von Präxen zu berechtigten ASen mittels Route Origin Validation (ROV).

Die Beglaubigung der Zugehörigkeit eines Präxes zu einem bestimmten AS erfolgt mittels Route Origination Authorizations (ROAs) und ist in RFC-6482  beschrieben. Die Beglaubigung geschieht überX.509-Zertikate.Der Ursprung einer Route lässt sich durch den Einsatz von RPKI beglaubigen und ebenfalls überprüfen, wodurch die Sicherheit des BGPs erhöht wird (Ramin, 2016).

Weitere Informationen zu RPKI finden Sie unter folgenden Links:

https://www.ripe.net/manage-ips-and-asns/resource-management/certification/what-is-rpki

https://www.ripe.net/manage-ips-and-asns/resource-management/certification/

https://www.ripe.net/manage-ips-and-asns/resource-management/certification/resource-certification-roa-management

http://edoc.sub.uni-hamburg.de/haw/volltexte/2016/3447/pdf/TobiasRamin.pdf

https://www.rheintal-ix.net/wp-content/uploads/2019/06/Sicheres-BGP-Routing.pdf

https://blog.cloudflare.com/rpki/

 

RPKI Cache am Rheintal-IX

Der Rheintal-IX betreibt einen eigenen RPKI Cache-Server. Dieser steht unseren Peers im Peering-LAN unter folgender Adresse kostenlos zur Verfügung:

FQDN Name IPv4 IPv6 Ports
rpki.rheintal-ix.net RPKI Validator #1 91.232.229.240 2001:7f8:66::240 rpki-rtr (323/tcp)

Konfigurationsbeispiele

Cisco (IOS-XE)

Ab Release IOS XE-3.5.0/15.1(3)

router bgp (your AS)
bgp rpki server tcp 91.232.229.240 port 323
bgp rpki server tcp 2001:7f8:66::240 port 323 ! address-family ipv4 bgp bestpath prefix-validate allow-invalid # Allow invalid routes to be considered for bestpath no bgp bestpath prefix-validate disable # Enable the Origin Validation (ROV) process exit-address-family ! address-family ipv6 bgp bestpath prefix-validate allow-invalid # Allow invalid routes to be considered for bestpath no bgp bestpath prefix-validate disable # Enable Origin Validation (ROV) process exit-address-family !


Mehr Beispiele für Geräte anderer Hersteller sind verfügbar unter:
https://www.ripe.net/manage-ips-and-asns/resource-management/certification/router-configuration