BGP Advanced — Prevent BGP Hijacking With RPKI
IDNIC Training
Bagaimana kita mengatasi masalah routing saat ini?
- LoA (Letter of Authority) Check
Melakukan filtering berdasarkan LoA pada saat kita connect ke upstream. Gunanya LoA akan mencegah IP Publik disalahgunakan karena LoA adalah surat yang sah dimiliki oleh perseorangan/perusahaan
Bentuknya text-based yang dibuat oleh orang bukan mesin, bahkan masih bisa dimanipulasi
- IRR (Internet Routing Registry)
Gunanya menampung database IP. ARR pun bisa melakukan lookup layaknya search enginer tapi khusus IP
Masalah Yang Terjadi Dengan Solusi Saat Ini
- Ada banyak IRR
- Data inconsistency antar IRR
- Sulit mengidentifikasi siapa yang paling benar
Apa itu RPKI?
RPKI (Resource Public Key Infrastructure), metode kriptografi untuk memastikan route (prefix) yang diadvertise ke BGP hanya dari AS number yang diperbolehkan
ROA akan memastikan IP Publik kita tidak bisa digunakan oleh orang lain
BGP Hijacking Tanpa RPKI
Kita mengakses internet dengan BGP yang tidak seharusnya. Dengan adanya ROA maka hanya AS15169 diperbolehkan mengadvertise prefix 8.8.8.0/24 -23
Manfaat RPKI
- Mencegah pembajakan route
Mencegah prefix diadvertise bukan oleh pemiliknya
- Mencegah routing bocor
Mencegah kesalahan routing akibat kesalahan konfigurasi (fat-finger)
- Karena hanya pemilik IP yang dapat mengadvertise IP tersebut di BGP
Bagaimana PKI Menangani Masalah Routing?
- Membuat ROA (CA)
Mensertifikasi resource kita agar tidak di hijack, memastikan prefix kita tidak di drop oleh upstream yang sudah diimplementasi
- Drop RPKI invalid di router kita
Mengamankan network dari prefix leak/bgp hijacking, muncul tanda hijau dan di list di ispbgpsafeyet.com
Cara Kerja RPKI
Supaya terpercaya, maka harus punya CA (Certified Authority)
Issuing Party (CA)
Apa itu Issuing Party (CA)?
Merupakan internet registries (RIR, NIR, LIR), contoh APNIC (Global) dan ADNIC (Indonesia)
Tugasnya adalah mensertifikasi resource (ROA) dan memberikan layanan kepada user untuk membuat ROA
Route Origin Auth (ROA)
Objek tersertifikasi yang berisi list prefix yang boleh di adv oleh suatu AS number
Cara Membuat ROA
Direct Member APNIC
- ROA dapat dibuat dari myAPNIC
- Hosted solution
- Self hosted
Member IDNIC
PROA dapat dibuat dengan bantuan host master email,menggukan myIDNIC
Cara Cek Validasi ROA
whois -h whois.bgpmon.net "--roa AS prefix
buka juga web ini
Relying Party (RP)
Apa itu Relying Party (RP)
Merupakan software yang mengambil data ROA dari CA
Terhubung dengan router BGP dan melakukan validasi apakah router falid/tidak
Gambaran RPKI
Trust Anchor Locator (TAL)
Setiap RIR punya TAL yang dapat didownload untuk dipasang PKKI validator.
Software RPKI Validator
- RCYNIC
- Octo RPKI
- RIPE NCC PRKI Validator
- Routinator 3000
- RPSTIR
- rpki-client (OpenBSD)
Route Origin Validation (ROV)
RPKI Validation
- Valid
IP yang di adv sesuai dengan yang di adv oleh AS number, bukan IP yang lain/fake (sama sama AS4622 | 203.119.13.0/24)
- Invalid
AS number yang di adv tidak sesuai dengan yang di adv oleh AS number ROA (AS2345 | 203.119.13.0/24)
- Not Found
AS dan IP yang di adv tidak sesuai dengan yang di adv oleh AS number dan IP ROA (AS2345 | 103.12.13.0/24)
Contoh lain:
Bagaimana jika suatu prefix di adv lebih dari 1 AS number?
Bisa dibuat 2 ROA untuk prefix tersebut agar statusnya valid. Karena ROA akan mengunci IP Address nya.
Aksi yang Dapat Dilakukan di Router
- Tidak melakukan apapun
Untuk melakukan analisa seberapa banyak route yang invalid
- Tag dengan BGP Community
Jika kalian memiliki downstream atau sebagai IXP
- Mengubah local preference
- Drop invalid route
Router yang Mendukung RPKI (Sebagian)
Hardware
- Juniper (JUNOS > v12.2)
- Cisco (IOS XR > v4.2.1 & XE > v3.5)
- Nokia (SR OS > v12.0.R4)
- MikroTik v7 (Beta ver)
Software
- Bird (> v2.0.0)
- Quagga
Konfigurasi
Cisco
- Verifikasi
show run | begin bgp
- Membuat BGP
router bgp 64500
bgp log-neighbor-changes
bgp rpki server tcp 10.1.1.6 port 8282 refresh 5
network 192.0.2.0
neighbor 10.1.1.2 remote-as 64510
neighbor 10.1.1.2 route-map rpki-loc-prof in
Cara Membuat ROA (IDNIC)
- Cek validasi di IP dan ASN terlebih dahulu disini
- Jadi, IP 203.119.13.0/24 sudah di adv oleh ASN4622. Tapi, kita akan membuat adv dari ASN7597
- Login ke myidnic.net
- Masuk ke ROA (Route Origin Auth)
- Membuat ROA
- Masukkan prefix
- Masukkan AS number
- Masukkan length prefix
- Klik create ROA
- Jika ingin melihat ROA yang sudah dibuat, isi IP di search box
- Akan membutuhkan sedikit waktu untuk divalidasi ROA nya hingga muncul di RPKI Validator
Semoga artikel ini bermanfaat, share artikel ini ya. Big thanks! 😘
Referensi: