The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Проект OpenBSD представил первый переносимый выпуск rpki-client

20.04.2020 13:23

Разработчики OpenBSD опубликовали первый публичный выпуск переносимой редакции пакета rpki-client с реализацией механизма RPKI (Resource Public Key Infrastructure) для RP (Relying Parties), применяемого для авторизации источника BGP-анонсов. RPKI позволяет определить исходит ли BGP-анонс от владельца сети или нет, для чего при помощи инфраструктуры открытых ключей для автономных систем и IP-адресов строится цепочка доверия, которая выстраивается от IANA к региональным регистраторам (RIRs), провайдерам (LIR) и конечным потребителям адресов. Код опубликован под лицензией BSD.

Программа rpki-client даёт возможность отправить запрос в репозиторий RPKI и сформировать объект VRP (Validated ROA Payload), подтверждающий источник маршрута (ROA, Route Origin Authorization) в формате настроек пакетов маршрутизации OpenBGPD и BIRD, а также в форматах CSV или JSON для использования в других стеках маршрутизации. Для обращения к репозиторию применяется утилита openrsync, которая извлекает все сертификаты X.509, манифесты и списки отзыва сертификатов. Затем rpki-client проверяет каждый ассоциированный с ROA сертификат, конструируя и верифицируя всю цепочку доверия, попутно оценивая списки CRL на предмет возможного отзыва сертификатов.

  1. Главная ссылка к новости (https://www.mail-archive.com/a...)
  2. OpenNews: Доступна переносимая версия OpenBGPD 6.6p0
  3. OpenNews: RIPE NCC поддержал разработку OpenBGPD
  4. OpenNews: BGPsec получил статус предложенного стандарта
  5. OpenNews: Утечка BGP-маршрута в Ростелекоме привела к нарушению связности крупнейших сетей
  6. OpenNews: Cloudflare запустил сервис для отслеживания фильтрации некорректных маршрутов BGP
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/52770-rpki
Ключевые слова: rpki, bgp, openbgp, bird
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (17) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 14:29, 20/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    И все ли им пользуются и о нём знают?
     
     
  • 2.2, A.Stahl (ok), 14:37, 20/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Нет. Недавно ведь была новость про то что Ростелеком или кто-то подобный анонсировал мусор какой-то вместо BGP-маршрута. Да и то что такой софт есть, это не значит что всем нужно его использовать -- он может быть глючный как облитая пивом клавиатура.
     
     
  • 3.3, Аноним (3), 14:45, 20/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    И много поддельных сертов с помощью летсэнкрыпт БФС успело создать?
     
  • 3.5, Fyjy (?), 15:14, 20/04/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    РТК уже не первый раз за последние два года анонсят на себя подсети мировых платежных сетей, крупных CDN'ов и прочего. Это не случайности, а вполне целенаправленные попытки разломать мировую сеть.
     
     
  • 4.6, www2 (??), 15:44, 20/04/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    На самом деле не надо искать злой умысел там, где всё можно объяснить обыкновенной невнимательностью.

    Возьмём тот же список ресурсов от РосКомНадзора, который должен блокировать каждый оператор. Представьте, что IP-адреса из этого списка одна железка оператора анонсирует другой, чтобы перенаправить трафик для проведения дополнительных процедур фильтрации. Тут кто-то из админов допускает ошибку в настройке оборудования и анонсы этих IP-адресов утекают от фильтрующей железки не к перенаправляющей железке, а наружу. Вот так на голом месте возникают эти ваши "целенаправленные попытки разломать мировую сеть".

    Кроме фильтрации ресурсов IP-адреса могут перенаправляться на другую железку для балансировки трафика или ограничения потребления трафика к этому ресурсу со стороны каждого пользователя, или для защиты IP-адреса от DDoS-атаки и т.п. То есть причин для того, чтобы оператор внутри себя как-то анонсировал с одной железки на другую какие-то публичные сети, множество. Достаточно ошибки, чтобы эти внутренние анонсы утекли наружу.

     
     
  • 5.7, Аноним (7), 16:03, 20/04/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Это и есть целенаправленные попытки разломать мировую сеть, потому что никаких роскомпозоров в сети не предусмотрено.
     
  • 5.9, Fyjy (?), 16:09, 20/04/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > На самом деле не надо искать злой умысел там, где всё можно
    > объяснить обыкновенной невнимательностью.

    Ага. По невнимательности именно в дни когда пропагандисты рассказывают о том, что мировые платежные системы ужасные и надо пользоваться деревянной картой Мир РТК СЛУЧАЙНО делает невозможным доступ к мировым платежным сетям из Москвы и Санкт-Петербурга. Случайность, ага.

     
     
  • 6.11, YetAnotherOnanym (ok), 16:45, 20/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ты об этом: https://www.opennet.me/opennews/art.shtml?num=46469 ?
    И как, за 7 минут сильно большую долю рынка отжала карта Мир у "мировых платежных сетей"?
     
     
  • 7.14, нах. (?), 17:28, 20/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    белок-истеричек не пронять.
     
  • 5.13, нах. (?), 17:27, 20/04/2020 [^] [^^] [^^^] [ответить]  
  • –4 +/
    все еще проще, и роспозор тут вообще не при делах - ростелек _транзитный_ оператор, и он _заведомо_ анонсит эти сети. Белкам-истеричкам, только что прочитавшим про bgp в викивракии, не понять.

    Возможностей же одним движением хвоста поанонсить апстриму то, что должно анонситься в его сторону не должно - мильен с тыщами.

    А за те деньги, что платит ростелек, кроме хвостатых там никто уже давно работать не жаждет.

     
  • 4.17, псевдонимус (?), 02:27, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    На кой им ломать интернет, конспиролух?
     
     
  • 5.18, Fyjy (?), 03:28, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    То что ты конспиролух я понял уже
     
     
  • 6.19, псевдонимус (?), 08:03, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > То что ты конспиролух я понял уже

    "Сам дурак".

    Детский садик, блин :-(

     
  • 2.4, Crazy Alex (ok), 15:13, 20/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Им или чем-то другим - воспользуются, куда они денутся
     
  • 2.8, нах. (?), 16:09, 20/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    им вообще никто не пользуется, кроме полутора ix'ов и миллиона васянов-истеричек.

    Потому что извини, но в магистральных маршрутизаторах пихать этот мусор - некуда.
    А заменять их на падучую поделку никто не станет.

    И конечно же прожект впопенбеэсде - именно то место, куда все операторы бегают каждые пять минут проверять, не выпустили ли там какой-нибудь еще не имеющий аналогов софт.

     
     
  • 3.10, Антуан (?), 16:18, 20/04/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Норм взвизгнул
     
  • 2.12, Аноним (12), 16:46, 20/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    https://isbgpsafeyet.com/
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру