RPKI ve ROA: IPv4 Rotalarınızı Güvence Altına Alma
Kaynak Açık Anahtar Altyapısı (RPKI) ve Rota Kaynak Yetkilendirmesi (ROA) hakkında bilmeniz gereken her şey — kavramlardan pratik uygulamaya.
RPKI Nedir?
Kaynak Açık Anahtar Altyapısı (RPKI), internetin yönlendirme altyapısını güvence altına almak için tasarlanmış kriptografik bir çerçevedir. Bir IP adres bloğunun sahibinin, belirli bir Otonom Sistemi (AS) o önek için rota başlatmaya yetkilendirdiğini doğrulamanın bir yolunu sağlar.
RPKI olmadan, BGP — internet üzerinden trafiği yönlendiren protokol — büyük ölçüde güvene dayalı olarak çalışır. Herhangi bir AS, herhangi bir IP önekini duyurabilir ve trafiği yetkisiz ağlar üzerinden yönlendirebilir. RPKI, bu tür ele geçirmeleri önlemek için kriptografik doğrulama katmanı ekler.
RPKI, IETF tarafından geliştirilmiş ve beş Bölgesel İnternet Kayıt Kuruluşu (RIR) tarafından yönetilmektedir: RIPE NCC, ARIN, APNIC, LACNIC ve AFRINIC. Her RIR, RPKI çerçevesi içinde bir Sertifika Otoritesi (CA) olarak işlev görür.
ROA Nedir?
Rota Kaynak Yetkilendirmesi (ROA), RPKI çerçevesi içindeki dijital olarak imzalanmış bir nesnedir. Hangi AS numarasının belirli bir IP önekini duyurmaya yetkili olduğunu ve duyurulabilecek maksimum önek uzunluğunu belirtir.
Örneğin, bir ROA şunu belirtebilir: "AS64500, maksimum /24 uzunluğuyla 192.0.2.0/24 duyurmaya yetkilidir." Bu, yalnızca AS64500'ün bu öneki meşru olarak başlatabileceği ve /25 gibi daha spesifik önekler olarak duyurulamayacağı anlamına gelir.
ROA'lar, IP adresi sahibi tarafından RIR'ın portalı üzerinden oluşturulur ve RIR'ın RPKI deposunda saklanır. Ağ operatörleri daha sonra gelen BGP duyurularını yayınlanmış ROA'lara karşı kontrol etmek için RPKI doğrulayıcılarını kullanır.
RPKI Nasıl Çalışır
RPKI, RIR'lara demirlenmiş bir güven zinciri aracılığıyla çalışır. Bir IP adresi tahsisi veya transferi aldığınızda, RIR kuruluşunuzu bu IP kaynaklarına bağlayan bir kaynak sertifikası düzenler. Ardından bu sertifika altında ROA nesneleri oluşturabilirsiniz.
Ağ operatörleri, RIR depolarından tüm ROA'ları indiren ve doğrulayan RPKI doğrulayıcılarını (Routinator, FORT veya rpki-client gibi) çalıştırır. Bu doğrulayıcılar, doğrulama sonuçlarını RPKI-to-Router (RTR) protokolü aracılığıyla yönlendiricilere iletir.
Bir BGP rota duyurusu geldiğinde, yönlendirici bunu RPKI doğrulama verilerine karşı kontrol eder. Rotalar Valid (bir ROA ile eşleşen), Invalid (bir ROA ile çelişen) veya NotFound (ROA bulunmayan) olarak sınıflandırılır. Operatörler daha sonra politikalar yapılandırabilir — genellikle Valid rotaları kabul eder, Invalid olanları reddeder ve NotFound rotalarına izin verir.
Valid
BGP duyurusu yayınlanmış bir ROA ile eşleşir — doğru AS ve önek uzunluğu. Rota kabul edilir.
Invalid
Duyuru bir ROA ile çelişir — yanlış AS veya maksimum önek uzunluğunu aşar. Rota reddedilmelidir.
NotFound
Bu önek için ROA bulunmamaktadır. Rota varsayılan olarak kabul edilir ancak kriptografik doğrulamadan yoksundur.
Unknown
Doğrulayıcı durumu belirleyememektedir, genellikle RPKI depoları ile bağlantı sorunları nedeniyle.
ROA Kayıtları Oluşturma
ROA kayıtları oluşturmak basittir ve RIR'ınızın üye portalı üzerinden yapılabilir. Süreç RIR'lar arasında biraz farklılık gösterir ancak aynı genel adımları takip eder.
RIPE NCC için LIR Portalına giriş yapın, "RPKI" bölümüne gidin, korumak istediğiniz öneki seçin, yetkili AS numarasını ve maksimum önek uzunluğunu belirtin ve ROA'yı yayınlayın. RIPE ayrıca mevcut rota nesnelerine dayalı olarak otomatik olarak ROA oluşturan bir "tek tıkla RPKI" özelliği sunar.
ARIN için, RPKI bölümüne erişmek üzere ARIN Online portalını kullanın. Kaynaklarınız için ROA oluşturabilir ve RPKI sertifikalarınızı yönetebilirsiniz. ARIN hem barındırılan hem de devredilen RPKI seçenekleri sunar.
APNIC için, MyAPNIC portalı RPKI yönetim araçlarını içerir. IP kaynaklarınız için ROA oluşturabilir ve durumlarını kontrol paneli üzerinden izleyebilirsiniz.
RIPE NCC
LIR Portalı → RPKI → ROA Oluştur. Mevcut rota nesnelerinden tek tıkla ROA oluşturmayı destekler. Anında yayın.
ARIN
ARIN Online → RPKI → ROA Oluştur. Hem barındırılan hem de devredilen RPKI sunar. Dakikalar içinde yayın.
APNIC
MyAPNIC → RPKI → ROA Oluştur. ROA durumunu ve kapsamını izlemek için entegre kontrol paneli.
LACNIC / AFRINIC
Benzer portal tabanlı ROA oluşturma. Spesifik adımlar ve özellikler için ilgili RIR belgelerine bakın.
RPKI Doğrulama
RPKI doğrulama, doğrulayıcılar adı verilen özel yazılım tarafından gerçekleştirilir. Bu araçlar beş RIR deposundan RPKI verilerinin tamamını indirir, kriptografik imzaları doğrular ve doğrulanmış bir Rota Kaynak Yetkilendirmesi önbelleği oluşturur.
Popüler açık kaynak doğrulayıcılar arasında Routinator (NLnet Labs), FORT Validator, rpki-client (OpenBSD) ve OctoRPKI (Cloudflare) bulunur. Bu doğrulayıcılar, doğrulanmış verileri RTR protokolü aracılığıyla yönlendiricilere sunar.
Cloudflare, Google, Amazon AWS ve Microsoft Azure dahil olmak üzere büyük ağ operatörleri ve bulut sağlayıcıları RPKI doğrulamayı uygulamış ve Invalid rotaları reddetmektedir. Benimseme arttıkça, öneklerinizin küresel olarak erişilebilir olmasını sağlamak için doğru ROA kayıtlarına sahip olmak giderek daha önemli hale gelmektedir.
RPKI IPv4 Transferlerinde Neden Önemlidir
IPv4 adresleri satın aldığınızda veya kiraladığınızda, RPKI ve ROA kayıtlarını ayarlamak yapmanız gereken ilk şeylerden biridir. ROA kayıtları olmadan, yeni edindiğiniz önekler kriptografik kaynak doğrulamasından yoksundur ve kaza sonucu veya kasıtlı ele geçirmeye daha açık hale gelir.
Ayrıca, daha fazla ağ RPKI tabanlı rota filtrelemeyi benimsedikçe, geçerli ROA kayıtları olmayan önekler azaltılmış erişilebilirlik yaşayabilir. Bazı ağlar zaten RPKI-geçerli rotaları tercih ediyor veya gerektiriyor ve bu eğilim hızlanıyor.
IPv4Center.com'da, her IPv4 transferinden sonra müşterilerimize RPKI kurulumunda yardımcı oluyoruz. IPv4 alanı satın alıyor veya kiralıyor olun, ekibimiz uygun ROA kayıtlarını oluşturmanıza ve öneklerinizin uygun şekilde korunduğunu doğrulamanıza yardımcı olur.
Rota Koruması
ROA kayıtları, yetkisiz tarafların BGP aracılığıyla IPv4 öneklerinizi ele geçirmesini önleyerek trafiğinizi ve itibarınızı korur.
Küresel Erişilebilirlik
RPKI benimsenmesi arttıkça, geçerli ROA kayıtları öneklerinizin dünya genelinde tüm büyük ağlarda erişilebilir kalmasını sağlar.
Uyumluluk
Birçok kurumsal müşteri ve devlet ağı RPKI-geçerli rotalar gerektirir. ROA kayıtları bu uyumluluk gereksinimlerini karşılamaya yardımcı olur.
Transfer Hazırlığı
Bir IPv4 transferinden sonra, öneki duyurmadan önce ROA kayıtları oluşturmak esastır. IPv4Center.com bu süreçte yardımcı olur.
Sıkça Sorulan Sorular
IPv4 adres sahipleri için RPKI ve ROA hakkında yaygın sorular.
ROA kaydı olmadan, ön ekiniz "NotFound" RPKI durumuna sahip olur. Çoğu ağ NotFound rotalarını kabul etse de, ön ekiniz BGP ele geçirmelerine karşı korumasızdır. RPKI benimsenmesi arttıkça, bazı ağlar NotFound rotalarını önceliklendirmeyebilir veya filtreleyebilir.
ROA kayıtları genellikle oluşturulduktan sonra 15–30 dakika içinde yayılır. RPKI doğrulayıcıları önbelleklerini periyodik olarak (genellikle her 10–20 dakikada) yeniler, bu nedenle küresel görünürlük hızla sağlanır.
Bu, kiralama düzenlemesine bağlıdır. Çoğu durumda, IP sahibi (kiralayan) sizin adınıza AS numaranızı yetkilendiren ROA'yı oluşturur. IPv4Center.com'da, hizmetimizin bir parçası olarak tüm kiralanan ön ekler için ROA oluşturma işlemini biz yönetiriz.
RPKI, hangi AS'nin bir IP ön ekini başlatabileceğini doğrulayarak BGP yönlendirmesini güvence altına alır. DNSSEC, DNS yanıtlarının kurcalanmadığını sağlayarak DNS'i güvence altına alır. İnternet altyapısının farklı katmanlarını korurlar, ancak her ikisi de kriptografik imzalar kullanır.
ROA ile birlikte RPKI, kaynak ele geçirmesini (yetkisiz AS'nin ön ekinizi duyurması) önler. Ancak yol manipülasyon saldırılarını önlemez. RPKI'nın bir uzantısı olan BGPsec, yol güvenliğini ele alır ancak dağıtımı sınırlıdır.
RPKI hiçbir RIR tarafından zorunlu değildir, ancak benimsenmesi güçlü bir şekilde teşvik edilmektedir. Cloudflare, Google ve AWS gibi büyük ağlar zaten RPKI-geçersiz rotaları reddediyor. Sektör, daha güvenli bir internet için evrensel RPKI dağıtımına doğru ilerliyor.