Vés al contingut

Usuari:VoltaQantic/proves: diferència entre les revisions

De la Viquipèdia, l'enciclopèdia lliure
Exploració interactiva de l'historial
← Edició anteriorEdició següent →
Contingut suprimit Contingut afegit
VisualWikitext
Cap resum de modificació
Cap resum de modificació
Línia 1: Línia 1:
'''Resource Public Key Infrastructure''' ('''RPKI'''), també coneguda com a '''Resource Certification''', és un marc especialitzat [[Infraestructura de clau pública|d'infraestructura de clau pública]] (PKI) per donar suport a una seguretat millorada per a la infraestructura [[Encaminament|d'encaminament]] [[Border Gateway Protocol|BGP]] d' [[Internet]].
En [[Ciències de la computació|informàtica]], '''el segrest de sessió''', de vegades també conegut com a '''segrest de galetes''', és l'explotació d'una [[sessió|sessió informàtica]] vàlida —de vegades també anomenada ''[[Clau de sessió|clau de sessió—]]'' per obtenir accés no autoritzat a informació o serveis en un sistema informàtic. En particular, s'utilitza per referir-se al robatori d'una [[galeta màgica]] utilitzada per autenticar un usuari a un servidor remot. Té una rellevància particular per als [[Desenvolupador web|desenvolupadors web]], ja que les [[Galeta (informàtica)|galetes HTTP]] <ref name=":03">{{Ref-web|url=http://news.bbc.co.uk/2/hi/technology/6929258.stm|editor=[[BBC News]]|data=August 3, 2007|títol=Warning of webmail wi-fi hijack}}</ref> utilitzades per mantenir una sessió en molts llocs web poden ser robades fàcilment per un atacant mitjançant un ordinador intermedi o amb accés a les galetes desades a l'ordinador de la víctima (vegeu [[Galeta (informàtica)|robatori de galetes HTTP)]]. Després d'haver robat correctament les galetes de sessió adequades, un adversari pot utilitzar la [https://wunderwuzzi23.github.io/blog/passthecookie.html tècnica Pass the Cookie] per realitzar un segrest de sessió. <ref>{{Ref-web|url=https://wunderwuzzi23.github.io/blog/passthecookie.html|títol=Pivot to the Clouds using Pass the Cookie|cognom=wunderwuzzi23|obra=Pass The Cookie|data=16 December 2018}}</ref> El segrest de galetes s'utilitza habitualment contra l'autenticació del client a Internet. <ref name=":1">{{Ref-publicació|cognom=Bugliesi|nom=Michele|cognom2=Calzavara|nom2=Stefano|cognom3=Focardi|nom3=Riccardo|cognom4=Khan|nom4=Wilayat|data=2015-09-16|url=http://dx.doi.org/10.3233/jcs-123456|publicació=Journal of Computer Security|volum=23|exemplar=4|pàgines=509–537|doi=10.3233/jcs-150529|issn=1875-8924}}</ref> Els navegadors web moderns utilitzen mecanismes de protecció de galetes per protegir la web d'atacs. <ref name=":1" />


RPKI proporciona una manera de connectar la informació de recursos de números d'Internet (com ara números [[Sistema autònom|del sistema autònom]] i [[Adreça IP|adreces IP]] ) a un [[àncora de confiança]]. L'estructura del certificat reflecteix la manera com es distribueixen els recursos [[Internet Assigned Numbers Authority|de números d'Internet]]. És a dir, els recursos els distribueix inicialment l' [[Internet Assigned Numbers Authority|IANA]] als [[Registre Regional d'Internet|registres regionals d'Internet]] (RIR), que al seu torn els distribueixen als [[Registre Regional d'Internet|registres locals d'Internet]] (LIR), que després distribueixen els recursos als seus clients. Els titulars legítims dels recursos poden utilitzar RPKI per controlar el funcionament dels [[Protocol d'enrutament|protocols d'encaminament d']]Internet per evitar [[Segrest de BGP|el segrest de rutes]] i altres atacs. En particular, RPKI s'utilitza per assegurar el [[Border Gateway Protocol|protocol de passarel·la fronterera]] (BGP) mitjançant la validació de l'origen de la ruta (ROV) de BGP, així com [[Neighbor Discovery Protocol|el protocol de descoberta de veïns]] (ND) per a [[IPv6]] mitjançant el protocol [[Descobriment segur de veïns|de descoberta segura de veïns]] (SEND).
Un mètode popular és utilitzar paquets IP [[Enrutament de la font|encaminats a la font]]. Això permet que un atacant del punt ''B'' de la xarxa participi en una conversa entre ''A'' i ''C'' animant els paquets IP a passar per la màquina ''de B.''


L'arquitectura RPKI està documentada a RFC 6480. L'especificació RPKI està documentada en una sèrie distribuïda de RFC: RFC 6481, RFC 6482 [rfc:6483 , RFC] [rfc:6484 6483, RFC 6484], RFC 6485, RFC 6486 [rfc:6487 ,] [rfc:6488 RFC 6487], <nowiki>RFC 6488</nowiki>, [rfc:6489 RFC 6488], [rfc:6490 RFC 6488], [rfc:6491 RFC 6486990], [rfc:6492 RFC 648690 492], i RFC 6493. SEND està documentat a RFC 6494 i RFC 6495. Aquests RFC són un producte del grup de treball SIDR ("Secure Inter-Domain Routing") de l'[[Internet Engineering Task Force|IETF]] <ref>{{Ref-web|url=https://datatracker.ietf.org/wg/sidr/charter/|títol=Secure Inter-Domain Routing (SIDR)|obra=datatracker.ietf.org}}</ref> i es basen en una anàlisi d'amenaces que es va documentar a [rfc:4593 la RFC 4593]. Aquests estàndards cobreixen la validació de l'origen BGP, mentre que la validació del camí és proporcionada per [[BGPsec]], que s'ha estandarditzat per separat a RFC 8205. Ja existeixen diverses implementacions per a la validació de l'origen del prefix. <ref>[rfc:7128 Resource Public Key Infrastructure (RPKI) Router Implementation Report (RFC 7128)], R. Bush, R. Austein, K. Patel, H. Gredler, M. Waehlisch, February, 2014</ref>
Si l'enrutament de fonts està desactivat, l'atacant pot utilitzar el segrest "cec", mitjançant el qual endevina les respostes de les dues màquines. Així, l'atacant pot enviar una ordre, però mai pot veure la resposta. Tanmateix, una ordre habitual seria establir una contrasenya que permeti l'accés des d'altres llocs de la xarxa.


== Certificats de recursos i objectes fills ==
Un atacant també pot estar "en línia" entre ''A'' i ''C'' mitjançant un programa d'olor per veure la conversa. Això es coneix com un "[[Intercepció|atac home-in-the-middle]]".
RPKI utilitza certificats [[X.509]] PKI (RFC 5280) amb extensions per a adreces IP i identificadors AS (RFC 3779). Permet als membres dels [[Registre Regional d'Internet|registres d'Internet regionals]], coneguts com a [[Registre Regional d'Internet|registres d'Internet locals]] (LIR), obtenir un certificat de recurs que enumera els recursos de [[Internet Assigned Numbers Authority|números d'Internet]] que tenen. Això els ofereix una prova validable de titularitat, encara que el certificat no conté informació d'identitat. Mitjançant el certificat de recurs, els LIR poden crear certificacions criptogràfiques sobre els anuncis de ruta que autoritzen que es facin amb els prefixos que tenen. Aquestes certificacions, anomenades Route Origin Authorizations <ref>[http://tools.ietf.org/html/draft-ietf-sidr-roa-format-12 A Profile for Route Origin Authorizations (ROAs)], M. Lepinski, S. Kent, D. Kong, May 9, 2011</ref> (ROA), es descriuen a continuació.


== Història d'HTTP ==
=== Autoritzacions d'origen de la ruta ===
Una ''autorització d'origen de ruta'' (ROA) indica quin [[sistema autònom]] (AS) està autoritzat per originar determinats [[Classless Inter-Domain Routing|prefixos IP]]. A més, pot determinar la longitud màxima del prefix que l'AS està autoritzat a anunciar.
Les versions del protocol HTTP 0.8 i 0.9 no tenien galetes i altres funcions necessàries per al segrest de sessions. La versió 0.9beta de Mosaic Netscape, publicada el 13 d'octubre de 1994, admetia galetes.


== Gestió ==
Hi ha eines de codi obert <ref>{{Ref-web|url=https://github.com/dragonresearch/rpki.net|títol=GitHub - dragonresearch/rpki.net: Dragon Research Labs rpki.net RPKI toolkit|data=November 23, 2019}}</ref> disponibles per executar l'autoritat de certificació i gestionar el certificat del recurs i els objectes secundaris, com ara els ROA. A més, els RIR tenen una plataforma RPKI allotjada disponible als seus portals de membres. Això permet als LIR triar confiar en un sistema allotjat o executar el seu propi programari.

== Publicació ==
El sistema no utilitza un únic punt de publicació del dipòsit per publicar objectes RPKI. En canvi, el sistema de dipòsits RPKI consta de diversos punts de publicació de dipòsits distribuïts i delegats. Cada punt de publicació del dipòsit està associat a un o més punts de publicació de certificats RPKI. A la pràctica, això significa que quan s'executa una autoritat de certificació, un LIR pot publicar tot el material criptogràfic per si mateix o pot confiar en un tercer per a la seva publicació. Quan un LIR opta per utilitzar el sistema allotjat proporcionat pel RIR, en principi la publicació es fa al repositori RIR.

== Validació ==
El programari de la part de confiança obtindrà, emmagatzemarà a la memòria cau i validarà les dades del dipòsit mitjançant [[rsync]] o el protocol Delta del dipòsit RPKI ( RFC 8182 ). <ref>{{Ref-publicació|url=https://datatracker.ietf.org/doc/rfc8182/|data=July 2017|cognom=Bruijnzeels|nom=Tim|cognom2=Muravskiy|nom2=Oleg|cognom3=Weber|nom3=Bryan|cognom4=Austein|nom4=Rob}}</ref> És important que una part de confiança es sincronitzi regularment amb tots els punts de publicació per mantenir una visió completa i oportuna de les dades del dipòsit. Les dades incompletes o obsoletes poden conduir a decisions d'encaminament errònies. <ref>{{Ref-llibre|cognom=Kristoff|nom=John|títol=Proceedings of the ACM Internet Measurement Conference|capítol=On Measuring RPKI Relying Parties|data=2020-10-27|urlcapítol=https://doi.org/10.1145/3419394.3423622|col·lecció=IMC '20|lloc=New York, NY, USA|editorial=Association for Computing Machinery|pàgines=484–491|doi=10.1145/3419394.3423622|isbn=978-1-4503-8138-3}}</ref> <ref>{{Ref-llibre|cognom=Kristoff|nom=John|títol=Proceedings of the ACM Internet Measurement Conference|capítol=On Measuring RPKI Relying Parties|data=2020-10-27|urlcapítol=https://dl.acm.org/doi/10.1145/3419394.3423622|llengua=en|editorial=ACM|pàgines=484–491|doi=10.1145/3419394.3423622|isbn=978-1-4503-8138-3}}</ref>

== Decisions de ruta ==
Després de la validació dels ROA, les certificacions es poden comparar amb l'encaminament BGP i ajudar els operadors de xarxa en el seu procés de presa de decisions. Això es pot fer manualment, però les dades d'origen del prefix validat també es poden enviar a un encaminador compatible mitjançant el protocol RPKI to Router (RFC 6810), <ref>{{Ref-publicació|url=https://datatracker.ietf.org/doc/rfc6810/|data=January 2013|cognom=Bush|nom=Randy|cognom2=Austein|nom2=Rob}}</ref> [[Cisco Systems]] ofereix suport natiu a moltes plataformes <ref>{{Ref-web|url=http://www.ripe.net/lir-services/resource-management/certification/router-configuration#Cisco|títol=RPKI Configuration with Cisco IOS|obra=[[RIPE]]}}</ref> per obtenir les dades RPKI. configurar i utilitzar-lo a la configuració de l'encaminador. <ref>{{Ref-web|url=https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/iproute_bgp/command/irg-cr-book/bgp-m1.html|títol=Cisco IOS IP Routing: BGP Command Reference - BGP Commands: M through N [Support]|obra=Cisco}}</ref> Juniper ofereix suport a totes les plataformes <ref>{{Ref-web|url=https://www.juniper.net/documentation/en_US/junos12.2/topics/topic-map/bgp-origin-as-validation.html|títol=Example: Configuring Origin Validation for BGP - Technical Documentation - Support - Juniper Networks|obra=www.juniper.net}}</ref> que executen la versió 12.2 o posterior. [[Quagga]] obté aquesta funcionalitat mitjançant BGP Secure Routing Extensions (BGP-SRx) <ref>{{Ref-web|url=https://www.nist.gov/services-resources/software/bgp-secure-routing-extension-bgp-srx-prototype|títol=BGP Secure Routing Extension (BGP‑SRx) Prototype|data=August 15, 2016|obra=NIST}}</ref> o una implementació RPKI <ref>{{Ref-web|url=https://github.com/rtrlib/quagga-rtrlib|títol=Quagga with RPKI-RTR prefix origin validation support: rtrlib/quagga-rtrlib|data=May 10, 2019}}</ref> totalment compatible amb RFC basada en RTRlib. El RTRlib <ref>{{Ref-web|url=http://rpki.realmv6.org/|títol=RTRlib - The RPKI RTR Client C Library|obra=rpki.realmv6.org}}</ref> proporciona una implementació C de codi obert del protocol RTR i la verificació de l'origen del prefix. La biblioteca és útil per als desenvolupadors de programari d'encaminament, però també per als operadors de xarxa. <ref>M. Wählisch, F. Holler, T.C. Schmidt, J.H. Schiller: "RTRlib: An Open-Source Library in C for RPKI-based Prefix Origin Validation, ''Proc. of USENIX Security Workshop CSET'13'', Berkeley, CA, USA:USENIX Assoc., 2013.</ref> Els desenvolupadors poden integrar la RTRlib al dimoni BGP per estendre la seva implementació cap a RPKI. Els operadors de xarxa poden utilitzar RTRlib per desenvolupar eines de monitorització (per exemple, per comprovar el funcionament correcte de les memòries cau o per avaluar-ne el rendiment).

RFC 6494 actualitza el mètode de validació del certificat dels mecanismes de seguretat del protocol SEND ([[Descobriment segur de veïns|Secure Neighbor Discovery]]) perquè [[Neighbor Discovery Protocol|el protocol de descoberta de veïns]] (ND) utilitzi RPKI per utilitzar-lo en IPv6. Defineix un perfil de certificat SEND utilitzant un perfil de certificat RFC 6487 RPKI modificat que ha d'incloure una única extensió de delegació d'adreça IP RFC 3779.




Revisió del 19:55, 19 nov 2023

Resource Public Key Infrastructure (RPKI), també coneguda com a Resource Certification, és un marc especialitzat d'infraestructura de clau pública (PKI) per donar suport a una seguretat millorada per a la infraestructura d'encaminament BGP d' Internet.

RPKI proporciona una manera de connectar la informació de recursos de números d'Internet (com ara números del sistema autònom i adreces IP ) a un àncora de confiança. L'estructura del certificat reflecteix la manera com es distribueixen els recursos de números d'Internet. És a dir, els recursos els distribueix inicialment l' IANA als registres regionals d'Internet (RIR), que al seu torn els distribueixen als registres locals d'Internet (LIR), que després distribueixen els recursos als seus clients. Els titulars legítims dels recursos poden utilitzar RPKI per controlar el funcionament dels protocols d'encaminament d'Internet per evitar el segrest de rutes i altres atacs. En particular, RPKI s'utilitza per assegurar el protocol de passarel·la fronterera (BGP) mitjançant la validació de l'origen de la ruta (ROV) de BGP, així com el protocol de descoberta de veïns (ND) per a IPv6 mitjançant el protocol de descoberta segura de veïns (SEND).

L'arquitectura RPKI està documentada a RFC 6480. L'especificació RPKI està documentada en una sèrie distribuïda de RFC: RFC 6481, RFC 6482 [rfc:6483 , RFC] [rfc:6484 6483, RFC 6484], RFC 6485, RFC 6486 [rfc:6487 ,] [rfc:6488 RFC 6487], RFC 6488, [rfc:6489 RFC 6488], [rfc:6490 RFC 6488], [rfc:6491 RFC 6486990], [rfc:6492 RFC 648690 492], i RFC 6493. SEND està documentat a RFC 6494 i RFC 6495. Aquests RFC són un producte del grup de treball SIDR ("Secure Inter-Domain Routing") de l'IETF [1] i es basen en una anàlisi d'amenaces que es va documentar a [rfc:4593 la RFC 4593]. Aquests estàndards cobreixen la validació de l'origen BGP, mentre que la validació del camí és proporcionada per BGPsec, que s'ha estandarditzat per separat a RFC 8205. Ja existeixen diverses implementacions per a la validació de l'origen del prefix. [2]

Certificats de recursos i objectes fills

RPKI utilitza certificats X.509 PKI (RFC 5280) amb extensions per a adreces IP i identificadors AS (RFC 3779). Permet als membres dels registres d'Internet regionals, coneguts com a registres d'Internet locals (LIR), obtenir un certificat de recurs que enumera els recursos de números d'Internet que tenen. Això els ofereix una prova validable de titularitat, encara que el certificat no conté informació d'identitat. Mitjançant el certificat de recurs, els LIR poden crear certificacions criptogràfiques sobre els anuncis de ruta que autoritzen que es facin amb els prefixos que tenen. Aquestes certificacions, anomenades Route Origin Authorizations [3] (ROA), es descriuen a continuació.

Autoritzacions d'origen de la ruta

Una autorització d'origen de ruta (ROA) indica quin sistema autònom (AS) està autoritzat per originar determinats prefixos IP. A més, pot determinar la longitud màxima del prefix que l'AS està autoritzat a anunciar.

Gestió

Hi ha eines de codi obert [4] disponibles per executar l'autoritat de certificació i gestionar el certificat del recurs i els objectes secundaris, com ara els ROA. A més, els RIR tenen una plataforma RPKI allotjada disponible als seus portals de membres. Això permet als LIR triar confiar en un sistema allotjat o executar el seu propi programari.

Publicació

El sistema no utilitza un únic punt de publicació del dipòsit per publicar objectes RPKI. En canvi, el sistema de dipòsits RPKI consta de diversos punts de publicació de dipòsits distribuïts i delegats. Cada punt de publicació del dipòsit està associat a un o més punts de publicació de certificats RPKI. A la pràctica, això significa que quan s'executa una autoritat de certificació, un LIR pot publicar tot el material criptogràfic per si mateix o pot confiar en un tercer per a la seva publicació. Quan un LIR opta per utilitzar el sistema allotjat proporcionat pel RIR, en principi la publicació es fa al repositori RIR.

Validació

El programari de la part de confiança obtindrà, emmagatzemarà a la memòria cau i validarà les dades del dipòsit mitjançant rsync o el protocol Delta del dipòsit RPKI ( RFC 8182 ). [5] És important que una part de confiança es sincronitzi regularment amb tots els punts de publicació per mantenir una visió completa i oportuna de les dades del dipòsit. Les dades incompletes o obsoletes poden conduir a decisions d'encaminament errònies. [6] [7]

Decisions de ruta

Després de la validació dels ROA, les certificacions es poden comparar amb l'encaminament BGP i ajudar els operadors de xarxa en el seu procés de presa de decisions. Això es pot fer manualment, però les dades d'origen del prefix validat també es poden enviar a un encaminador compatible mitjançant el protocol RPKI to Router (RFC 6810), [8] Cisco Systems ofereix suport natiu a moltes plataformes [9] per obtenir les dades RPKI. configurar i utilitzar-lo a la configuració de l'encaminador. [10] Juniper ofereix suport a totes les plataformes [11] que executen la versió 12.2 o posterior. Quagga obté aquesta funcionalitat mitjançant BGP Secure Routing Extensions (BGP-SRx) [12] o una implementació RPKI [13] totalment compatible amb RFC basada en RTRlib. El RTRlib [14] proporciona una implementació C de codi obert del protocol RTR i la verificació de l'origen del prefix. La biblioteca és útil per als desenvolupadors de programari d'encaminament, però també per als operadors de xarxa. [15] Els desenvolupadors poden integrar la RTRlib al dimoni BGP per estendre la seva implementació cap a RPKI. Els operadors de xarxa poden utilitzar RTRlib per desenvolupar eines de monitorització (per exemple, per comprovar el funcionament correcte de les memòries cau o per avaluar-ne el rendiment).

RFC 6494 actualitza el mètode de validació del certificat dels mecanismes de seguretat del protocol SEND (Secure Neighbor Discovery) perquè el protocol de descoberta de veïns (ND) utilitzi RPKI per utilitzar-lo en IPv6. Defineix un perfil de certificat SEND utilitzant un perfil de certificat RFC 6487 RPKI modificat que ha d'incloure una única extensió de delegació d'adreça IP RFC 3779.


Referències

  1. «Secure Inter-Domain Routing (SIDR)». datatracker.ietf.org.
  2. [rfc:7128 Resource Public Key Infrastructure (RPKI) Router Implementation Report (RFC 7128)], R. Bush, R. Austein, K. Patel, H. Gredler, M. Waehlisch, February, 2014
  3. A Profile for Route Origin Authorizations (ROAs), M. Lepinski, S. Kent, D. Kong, May 9, 2011
  4. «GitHub - dragonresearch/rpki.net: Dragon Research Labs rpki.net RPKI toolkit», 23-11-2019.
  5. Bruijnzeels, Tim; Muravskiy, Oleg; Weber, Bryan; Austein, Rob Falta indicar la publicació, 7-2017.
  6. Kristoff, John. «On Measuring RPKI Relying Parties». A: Proceedings of the ACM Internet Measurement Conference. New York, NY, USA: Association for Computing Machinery, 2020-10-27, p. 484–491 (IMC '20). DOI 10.1145/3419394.3423622. ISBN 978-1-4503-8138-3. 
  7. Kristoff, John. «On Measuring RPKI Relying Parties». A: Proceedings of the ACM Internet Measurement Conference (en anglès). ACM, 2020-10-27, p. 484–491. DOI 10.1145/3419394.3423622. ISBN 978-1-4503-8138-3. 
  8. Bush, Randy; Austein, Rob Falta indicar la publicació, 1-2013.
  9. «RPKI Configuration with Cisco IOS». RIPE.
  10. «Cisco IOS IP Routing: BGP Command Reference - BGP Commands: M through N [Support]». Cisco.
  11. «Example: Configuring Origin Validation for BGP - Technical Documentation - Support - Juniper Networks». www.juniper.net.
  12. «BGP Secure Routing Extension (BGP‑SRx) Prototype». NIST, 15-08-2016.
  13. «Quagga with RPKI-RTR prefix origin validation support: rtrlib/quagga-rtrlib», 10-05-2019.
  14. «RTRlib - The RPKI RTR Client C Library». rpki.realmv6.org.
  15. M. Wählisch, F. Holler, T.C. Schmidt, J.H. Schiller: "RTRlib: An Open-Source Library in C for RPKI-based Prefix Origin Validation, Proc. of USENIX Security Workshop CSET'13, Berkeley, CA, USA:USENIX Assoc., 2013.
Obtingut de «https://ca.wikipedia.org/w/index.php?title=Usuari:VoltaQantic/proves&oldid=32687671»