BGP Advanced — Prevent BGP Hijacking With RPKI

IDNIC Training

Photo by Noction

Bagaimana kita mengatasi masalah routing saat ini?

• LoA (Letter of Authority) Check

Melakukan filtering berdasarkan LoA pada saat kita connect ke upstream. Gunanya LoA akan mencegah IP Publik disalahgunakan karena LoA adalah surat yang sah dimiliki oleh perseorangan/perusahaan

Bentuknya text-based yang dibuat oleh orang bukan mesin, bahkan masih bisa dimanipulasi

• IRR (Internet Routing Registry)

Gunanya menampung database IP. ARR pun bisa melakukan lookup layaknya search enginer tapi khusus IP

Masalah Yang Terjadi Dengan Solusi Saat Ini

• Ada banyak IRR
• Data inconsistency antar IRR
• Sulit mengidentifikasi siapa yang paling benar

Apa itu RPKI?

RPKI (Resource Public Key Infrastructure), metode kriptografi untuk memastikan route (prefix) yang diadvertise ke BGP hanya dari AS number yang diperbolehkan

ROA akan memastikan IP Publik kita tidak bisa digunakan oleh orang lain

BGP Hijacking Tanpa RPKI

Kita mengakses internet dengan BGP yang tidak seharusnya. Dengan adanya ROA maka hanya AS15169 diperbolehkan mengadvertise prefix 8.8.8.0/24 -23

Manfaat RPKI

• Mencegah pembajakan route

Mencegah prefix diadvertise bukan oleh pemiliknya

• Mencegah routing bocor

Mencegah kesalahan routing akibat kesalahan konfigurasi (fat-finger)

• Karena hanya pemilik IP yang dapat mengadvertise IP tersebut di BGP

Bagaimana PKI Menangani Masalah Routing?

• Membuat ROA (CA)

Mensertifikasi resource kita agar tidak di hijack, memastikan prefix kita tidak di drop oleh upstream yang sudah diimplementasi

• Drop RPKI invalid di router kita

Mengamankan network dari prefix leak/bgp hijacking, muncul tanda hijau dan di list di ispbgpsafeyet.com

Is BGP safe yet? · Cloudflare

Cara Kerja RPKI

Supaya terpercaya, maka harus punya CA (Certified Authority)

Issuing Party (CA)

Apa itu Issuing Party (CA)?

Merupakan internet registries (RIR, NIR, LIR), contoh APNIC (Global) dan ADNIC (Indonesia)

Tugasnya adalah mensertifikasi resource (ROA) dan memberikan layanan kepada user untuk membuat ROA

Route Origin Auth (ROA)

Objek tersertifikasi yang berisi list prefix yang boleh di adv oleh suatu AS number

Cara Membuat ROA

Direct Member APNIC

• ROA dapat dibuat dari myAPNIC
• Hosted solution
• Self hosted

Member IDNIC

Photo by IDNIC-ROA dashbord

PROA dapat dibuat dengan bantuan host master email,menggukan myIDNIC

Cara Cek Validasi ROA

whois -h whois.bgpmon.net "--roa AS prefix

buka juga web ini

https://bgp.he.net

Kunci hijau menandakan adanya ROA

Relying Party (RP)

Apa itu Relying Party (RP)

Merupakan software yang mengambil data ROA dari CA

Terhubung dengan router BGP dan melakukan validasi apakah router falid/tidak

Gambaran RPKI

Trust Anchor Locator (TAL)

Setiap RIR punya TAL yang dapat didownload untuk dipasang PKKI validator.

Software RPKI Validator

• RCYNIC
• Octo RPKI
• RIPE NCC PRKI Validator
• Routinator 3000
• RPSTIR
• rpki-client (OpenBSD)

Route Origin Validation (ROV)

RPKI Validation

• Valid

IP yang di adv sesuai dengan yang di adv oleh AS number, bukan IP yang lain/fake (sama sama AS4622 | 203.119.13.0/24)

• Invalid

AS number yang di adv tidak sesuai dengan yang di adv oleh AS number ROA (AS2345 | 203.119.13.0/24)

• Not Found

AS dan IP yang di adv tidak sesuai dengan yang di adv oleh AS number dan IP ROA (AS2345 | 103.12.13.0/24)

Contoh lain:

Tabel validation

Bagaimana jika suatu prefix di adv lebih dari 1 AS number?

Bisa dibuat 2 ROA untuk prefix tersebut agar statusnya valid. Karena ROA akan mengunci IP Address nya.

RPKI Validator - Quick Overview of BGP Origin Validation

Aksi yang Dapat Dilakukan di Router

• Tidak melakukan apapun

Untuk melakukan analisa seberapa banyak route yang invalid

• Tag dengan BGP Community

Jika kalian memiliki downstream atau sebagai IXP

• Mengubah local preference
• Drop invalid route

Router yang Mendukung RPKI (Sebagian)

Hardware

• Juniper (JUNOS > v12.2)
• Cisco (IOS XR > v4.2.1 & XE > v3.5)
• Nokia (SR OS > v12.0.R4)
• MikroTik v7 (Beta ver)

Software

• Bird (> v2.0.0)
• Quagga

Konfigurasi

Cisco

• Verifikasi

show run | begin bgp

• Membuat BGP

router bgp 64500
bgp log-neighbor-changes
bgp rpki server tcp 10.1.1.6 port 8282 refresh 5
network 192.0.2.0
neighbor 10.1.1.2 remote-as 64510
neighbor 10.1.1.2 route-map rpki-loc-prof in

Cara Membuat ROA (IDNIC)

• Cek validasi di IP dan ASN terlebih dahulu disini

RPKI Validator - Quick Overview of BGP Origin Validation

• Jadi, IP 203.119.13.0/24 sudah di adv oleh ASN4622. Tapi, kita akan membuat adv dari ASN7597

• Login ke myidnic.net

• Masuk ke ROA (Route Origin Auth)

• Membuat ROA

• Masukkan prefix

• Masukkan AS number

• Masukkan length prefix

• Klik create ROA

• Jika ingin melihat ROA yang sudah dibuat, isi IP di search box

• Akan membutuhkan sedikit waktu untuk divalidasi ROA nya hingga muncul di RPKI Validator

Semoga artikel ini bermanfaat, share artikel ini ya. Big thanks! 😘

Referensi:

IDNIC Event

Info IDNIC