IETF於今年(2023年)8月通過發佈一篇RFC 9455-「Avoiding Route Origin Authorizations (ROAs) Containing Multiple IP Prefixes」,此篇RFC歸類為「Best Current Practice」。
摘要:
為在使用資源公鑰基礎設施(RPKI)時,位址空間持有者需要發布路由起始授權(ROA)對象,以授權一個或多個自治系統(AS)對IP位址網段發起BGP路由。本備忘錄討論了可能由包含多個IP網段的ROA引起的操作問題,並建議每個ROA包含一個單獨的IP網段。
在RPKI中,ROA是一個數位簽署的對象,用於識別特定的自治系統(AS)已獲得位址空間持有者的授權,以發起對相關位址空間內一個或多個IP網段的BGP路由 [RFC6482]。
前言介紹:
每個ROA包含一個asID字段和一個ipAddrBlocks字段。asID字段包含一個單一AS號,該AS已獲授權發起對給定IP位址網段的路由。ipAddrBlocks字段包含一個或多個IP位址網段,對這些網段,該AS已獲授權發起路由。
如果位址空間持有者需要授權多個AS宣告相同的IP網段集合,則必須發布多個ROA(每個AS號一個ROA[RFC6480])。在此文檔之前,沒有指南建議為每個IP網段發布單獨的ROA或包含多個IP網段的單一ROA。
相關問題探討:
位址空間持有者可以為其每個路由公告發行單獨的ROA。或者,對於給定的asID,它可以為多個路由公告,甚至是所有路由公告發行一個單一的ROA。由於給定的ROA要麼有效要麼無效,因此針對該ROA發行的路由公告在RPKI驗證方面將“共享命運”。目前,現有的RFC文件對於發行哪種類型的ROA,即每個網段一個ROA還是多個路由公告一個ROA,並未提供建議。命運共享的問題尚未討論或解決。
在RPKI信任鏈中,父CA發給某些資源的代理人的CA憑證可以隨時被父CA吊銷,這將導致在[RFC3779]中定義的憑證擴展中指定的資源發生變化。包含以下資源的任何ROA對象將被拒絕為無效:a)不再完全包含在新的CA憑證中或b)包含在尚未被RP軟件發現的新CA憑證中。由於ROA的無效性影響該ROA中指定的所有路由,具有相關路由的未更改資源通過asID不能與由於CA憑證有效性變化而受影響的資源區分開來。即使沒有意圖改變其有效性,它們也將被歸入此無效ROA。如果這些資源在單獨的ROA中,則不會更改發行CA憑證,因此不會出現後續的無效性。
憑證授權機構(CAs)必須仔細協調ROA的更新與資源憑證的更新。如果一個實體管理著父CA和發布ROAs的CA(參見[RFC8211]第3.4節中的D場景),則此過程可能會自動化。然而,在其他部署情境中,這種協調變得更加複雜。
由於整個ROA只有一個到期時間,到期將影響ROA中的所有網段。因此,對於任何網段的ROA的更改必須與對其他網段的更改同步,特別是當網段的授權受到時間限制時。如果這些網段包含在分別發行的ROAs中,則每個ROA的有效期間將是唯一的,無效性只會受到特定發行父CA憑證的重新發行的影響。
某個網段可能只能在特定的時間內從某個AS發起,例如,如果該IP網段被暫時租用出去。如果使用具有多個IP網段的ROA,這將更難管理,可能更容易出錯。同樣,更複雜的路由可能需要更改asID或一組網段的路由。重新發行ROA可能導致已收到的BGP路由的有效性發生變化,這些路由受到ROA網段的覆蓋。如果:a)有限時間資源包含在單獨的ROAs中,或者b)對於更複雜的路由,asID的每次更改或給定網段的路由更改都反映在對離散ROA的更改中,那麼不會更改未受影響路由的有效性。
使用僅包含單個IP網段的ROA可以最小化這些副作用。它避免了命運共享,無論原因是什麼,其中每個發行ROA的父CA保持有效,每個ROA本身也保持有效。
此篇RFC的結論建議如下:
除非CA有明確的合理理由,否則發布的ROA應該只包含單一IP網段。
本中心目前維運之RPKI相關服務及設定符合此RFC之建議。
若有公司、組織欲申請IP位址成為本中心IP會員,及有RPKI相關設定需求,請參閱本中心網站https://ipapply.twnic.tw/、https://rpki.tw/
RFC9455原文請參閱IETF網頁https://datatracker.ietf.org/doc/rfc9455/
