Regionaler Internet Exchange für das Rheintal
Header

RPKI Cache Server

Was ist RPKI?

Zur Verbesserung der Sicherheit des BGPs wurde die Resource Public Key Infrastructure (RPKI) entwickelt. Dazu gehören zum einen das RPKI-Router Protokoll (RTR) zum Austausch der RPKI-Daten, zum anderen die Gültigkeitsprüfung der Verknüpfung von Präxen zu berechtigten ASen mittels Route Origin Validation (ROV).

Die Beglaubigung der Zugehörigkeit eines Präxes zu einem bestimmten AS erfolgt mittels Route Origination Authorizations (ROAs) und ist in RFC-6482  beschrieben. Die Beglaubigung geschieht überX.509-Zertikate.Der Ursprung einer Route lässt sich durch den Einsatz von RPKI beglaubigen und ebenfalls überprüfen, wodurch die Sicherheit des BGPs erhöht wird (Ramin, 2016).

Weitere Informationen zu RPKI finden Sie unter folgenden Links:

https://www.ripe.net/manage-ips-and-asns/resource-management/certification/what-is-rpki

https://www.ripe.net/manage-ips-and-asns/resource-management/certification/

https://www.ripe.net/manage-ips-and-asns/resource-management/certification/resource-certification-roa-management

https://www.rheintal-ix.net/wp-content/uploads/2019/06/Sicheres-BGP-Routing.pdf

 

RPKI Cache-Server am Rheintal IX

Der Rheintal IX betreibt redundante RPKI Cache-Server an zwei Standorten in Feldkirch und Eschen. Diese stehen unseren Mitgliedern im Peering-LAN unter folgenden Adressen kostenlos zur Verfügung:

FQDN Name IPv4 IPv6 Ports
rpki1.rheintal-ix.net RPKI Cache-Server #1 91.232.229.240 2001:7f8:66::240 rpki-rtr (3323/tcp)
rpki2.rheintal-ix.net RPKI Cache-Server #2 91.232.229.241 2001:7f8:66::241 rpki-rtr (3323/tcp)

 

Konfigurationsbeispiele

Cisco (IOS-XE)

Ab Release IOS XE-3.5.0/15.1(3)

router bgp (your AS)
bgp rpki server tcp 91.232.229.240 port 3323 refresh 600
bgp rpki server tcp 91.232.229.241 port 3323 refresh 600
bgp rpki server tcp 2001:7f8:66::240 port 3323 refresh 600
bgp rpki server tcp 2001:7f8:66::241 port 3323 refresh 600 ! address-family ipv4 bgp bestpath prefix-validate allow-invalid # Allow invalid routes to be considered for bestpath no bgp bestpath prefix-validate disable # Enable the Origin Validation (ROV) process exit-address-family ! address-family ipv6 bgp bestpath prefix-validate allow-invalid # Allow invalid routes to be considered for bestpath no bgp bestpath prefix-validate disable # Enable Origin Validation (ROV) process exit-address-family !

Quelle: https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/iproute_bgp/configuration/xe-3s/irg-xe-3s-book/bgp-origin-as-validation.pdf


Mehr Beispiele für Geräte anderer Hersteller sind verfügbar unter:
https://www.ripe.net/manage-ips-and-asns/resource-management/certification/router-configuration