RPKI (Resource Public Key Infrastructure)

1. RPKI 등장 배경(BGP 결함에 따른 문제 발생 사례)

시기발생 사례
2017년 1월이란 국영통신사에서 성인 사이트 차단 위해 가짜 BGP 경로 광고
2018년 11월암호화폐 위조 사이트 리디렉션 BGP 하이재킹에 따른 15만 달러 암호화폐 탈취
2019년 6월중국 차이나텔레콤에서 7만개 인터넷 경로 재라우팅으로 유럽 인터넷 2시간 장애
2020년 4월러시아 국영통신사에서 구글, 아마존, 페이스북 트래픽 하이재킹
  • BGP 결함에 따른 경로 누수, 경로 하이재킹 등 문제점 대응 위해 RPKI 등 보안기술 표준 등장

 

2. 라우팅 정보 무결성 인증, RPKI의 개념 및 주요 기능

(1) RPKI(Resource Public Key Infrastructure)의 개념

개념도
개념IP 주소와 AS 번호를 PKI 기반 인증서로 발행하여 라우팅 정보 무결성을 보장하는 인터넷 라우팅 보안 기술

(2) BGP 보안취약점과 RPKI의 주요 기능(필요성)

BGP 보안취약점RPKI 주요 기능RPKI 기능 세부 설명
AS 간 메시지 무결성,
상호 인증 메커니즘 부재
IP 주소, AS 번호
인증
– IP 대역과 AS번호 할당 정보를 인증하여 BGP announce 정보 인증 방법 정의
IP 대역, AS 번호 이용권한 증명 방법 미정의BGP Speaker
정보 검증
– 라우팅 정보 교환 시, BGP 라우팅 광고의 시작점 (Announce Origin) 검증
경로정보(AS-Path) 신뢰성 확인 방법 불투명변조된 BGP 라우팅 정보 탐지/차단– 라우팅 경로의 시작점과 경로원점 인증서(ROA)를 비교, 변조된 정보 탐지/차단
  • 2012년 2월 인터넷주소자원(IP주소, AS번호)에 대해 PKI 표준(RFC3779) 기반 암호화된 인증서 발행 및 해당 주소 라우팅 정보 무결성을 보장하는 인터넷 라우팅 보안 기술인 RPKI(RFC6480) 발표

 

3. RPKI 시스템 구성요소 및 동작 절차

(1) RPKI 시스템 구성요소

구분구성요소역할
인증서경로원점인증서(ROA)IP주소의 BGP 라우팅 권한을 AS 번호와 함께 서명
공개키구조(PKI)인증 기관의 서명된 인증서 분배 기반 상호인증
인증서
관리
CA (Certificate Authority)인터넷주소에 대한 인증서 생성, 폐지, 저장 및 분배
저장소 (Repository)서명된 인증서 객체와 ROA 인증서를 저장 관리
인증
서비스
RPKI 캐시(Cache) 서버TAL 기반 ROA 제공 받아 RPKI 라우터에 제공
RPKI 라우터RTR 프로토콜 기반 ROA 수신, 라우팅 정보 검증
  • TAL(Trust Anchor Locator): RPKI 저장소 위치와 공개키를 포함한 파일
  • RTR(RPKI to Router): 시리얼 번호, 세션 ID 기반 검사기와 라우터 간 DB 동기화

(2) RPKI 시스템의 핵심, 경로원점인증서(ROA)


– 경로원점인증서(ROA, Route Origin Authorization)
– 할당받은 IP 주소에 대해 전자 서명된 증명서를 주소자원 인증서(Resource Certification)라 하고, 해당 인증서 기반 IP 주소에 대해 BGP 라우팅 권한이 있음을 AS 번호와 함께 신뢰할 수 있는 객체(Objcets) 정보들로 작성하여 전자 서명

(3) RPKI 시스템 동작 메커니즘

1) RPKI 적용 전: 잘못된 라우팅 경로 광고로 인해 하이재킹 등 문제 발생


– AS4745의 IP주소와 동일한 주소 대역 1.16.66.0/24를 AS3357에서 실수 또는 악의적으로 라우팅 경로를 광고하면, BGP 특성상 기존 정상 경로 AS9695 – AS9568 – AS4745 보다도 경로가 짧은 비정상 경로 AS9695 – AS3357로 패킷 라우팅

2) RPKI 적용: ROA를 RPKI 캐시 서버에 전송/저장, RPKI 라우터에 제공


– AS4745에서 1.16.66.0/24에 대한 BGP 라우팅 권한이 AS4745에 있음을 사전에 인증 받은 ROA 인증서를 글로벌 RPKI 시스템에 반영하면, 저장소에서 RTR 프로토콜로 RPKI 캐시(Cache) 서버에 전송/저장 후 ROA 정보를 RPKI 라우터에 제공

3) RPKI 적용 후: 잘못된 라우팅 경로 차단으로 라우팅 신뢰성 확보


– AS9695의 라우터가 RPKI를 활성화하게 되면 RPKI 서버로부터 받은 ROA 정보와 BGP 정보의 비교 결과인 ROV(Route Origin Validation) 정보를 통해 비정상 경로(Invaild)를 탐지/차단

 

4. RPKI 기반 라우팅 인증 체계

(1) RPKI 기반 라우팅 인증 체계도

  • 대륙별 인터넷주소관리기관(RIR), 국가별 인터넷주소관리기관(NIR), 국내 인터넷주소관리기관(LIR)의 계층적 IP 주소 할당 및 인증 수행

(2) RPKI 기반 라우팅 인증 역할 및 지원 방식

구분역할 / 방식역할
역할RIR– Regional Internet Registry, 루트 인증서버(CA) 역할
– RIR 보유 인터넷주소 인증, ROA 인증서 최상위 등록관리
NIR– National Internet Registry (국가 단위), 위임/인증 역할
– 할당된 인터넷주소 위임 또는 통합 방식 ROA 인증서 등록
LIR– Local Internet Registry (기관 단위), 사용/신청 역할
– 할당된 인터넷주소 중 인터넷으로 라우팅하는 자원 ROA 인증서 신청
지원
방식
위임 방식
(Delegation)
– RIR-NIR-LIR 주소 관리기관 간 각각의 인증서버(CA)를 구축하여 리소스∙ROA 인증서를 등록 관리
통합 방식
(Hosted)
– RIR은 인터넷주소에 대한 인증 권한 보유 RPKI 시스템을 구축하고, 소속된 NIR, LIR은 RIR의 시스템에 접속하여 ROA 인증서를 신청 등록, 모든 암호화 작업이 RIR에서 처리
  • 현재 한국인터넷진흥원(KISA)에서는 통합 방식(Hosted)만 지원

 
[참고]

  • 한국인터넷진흥원(KISA), KRNIC 라우팅 인증(RPKI)

콘텐츠 사용 시 출처 표기 부탁 드리고, 댓글은 큰 힘이 됩니다^^