Como configurar o RPKI de forma simples, instalação do Krill

RPKI é a especificação de uma tecnologia discutida e proposta pelo IETF (Internet Engeenering Task Force), RFC 6480, que permite a validação de anúncios de rotas via protocolo BGP.

Essa tecnologia faz uso de Certificados Digitais (PKI), e de uma cadeia de certificação para validar a alocação de um conjunto de Recursos de Numeração Internet feita por um RIR/NIR a uma organização.

Um dos objetos a ser assinado com a referida chave privada se chama ROA (Route Origin Authorization), e que contém uma lista de blocos IPv4 e/ou IPv6 e um ASN que está autorizado a originar rotas para os referidos blocos.

As ROAs são então publicadas em repositórios e poderão ser utilizadas para validar que uma determinada rota para um bloco IP, recebida através do protocolo BGP, está sendo originada pelo ASN autorizado pelo detentor da alocação do bloco IP em questão.

Dessa forma cria-se um mecanismo para evitar uso indevido de blocos de endereços IP ou “sequestros”, que é quando através de um ASN se origina rotas para blocos IP alocados para outras organizações que não aquela responsável pelo ASN.

Vídeo recomendado que pode lhe ajudar esclarecer a importância do RPKI.
RPKI: Uma proteção para roubo de prefixos no BGP

Está instalação tem como base o projeto Krill. Krill é um daemon de Resource RPKI, apresentando uma Autoridade de Certificação (CA) e um servidor de publicação, escrito em Rust.

Distribuição recomendada:
Instalação do Debian 12 Bookworm limpa passo-a-passo

A base desta instalação foi com informações na documentação oficial.

Não esqueça de virar root da forma correta e atualizar os pacotes, e instalar alguns pacotes que serão necessários.

Adicionaremos ao repositório Debian para os pacotes da nlnetlabs:

Importe a chave do repositório.

Atualize o repositório

Instale o krill

Após a instalação será criado no sistema um usuário chamado krill que é dono do diretório /var/lib/krill/ (que até o momento não existe nada nele).

Por segurança criaremos um backp original do krill.conf o arquivo de configuração.

Por padrão o krill roda em localhost porta 3000. Mas para nós acessar posteriormente sua interface web (lagosta) será necessário ter acesso a mesma, tornado aberta para todos. (Veremos também como aplicar um firewall, para não deixar acessível à todos)

Adicione como no print:

Por padrão o mesmo não vem habilitado na inicialização, para isso vamos habilita-lo.

Agora inicie o serviço

Verifique se o mesmo está rodando sem nenhum erro.

Com o comando netstat você pode se certificar que agora o krill está aberto para qualquer IP “0.0.0.0”

Tudo certo até aqui, será necessário pegarmos o Token que ele gerou na instalação, ele se encontra no arquivo /etc/krill.conf, para pega-ló pode executar este comando:


Neste caso meu token é 38d8ffbe35eaa2391b01681662037600, salve isso com 7 chaves!

E a instalação é só isso! 🙂

Agora basta acessar em seu navegador https://IP:3000 e nos depararemos com interface web do krill “lagosta”. (User o Firefox) É necessário aceitar o certificado inválido.

Informe o seu token em senha, no meu ex.: “38d8ffbe35eaa2391b01681662037600”

Ao entrar pela primera vez será necessário informar um nome de autoridade, adotarei como nome “meu AS”

Hora de acessarmos nossa conta no Registro.br

Clique em titularidade, em seguida “1 ASN”

Role a página ate o final e clique em Configurar RPKI

Volte a tela do Krill, e clique em Parents e copie o conteúdo do Child Request

Retorne ao Registro.BR e cole o conteúdo no campo Child Request e Habilitar RPKI

Copie o conteúdo do Parent Response que o RegistroBR gerou

Cole o mesmo no Krill campo Parent Response e clique em confirmar.

Deve retornar uma mensagem de sucesso.

Você será já direcionado para o Repository, então copie a Publisher Request

Vá ao registroBR e logo a baixo de parent response clique em Configurar publicação remota irá abrir um campo Publisher Request, agora cole e clique em Habilitar Publicação Remota

Role um pouco a paixa para baixo e veja que temos agora o Repository Response copie o mesmo e volte ao Krill

Cole no campo Repository Response e clique em Confirmar

Novamente deve retornar uma mensagem de sucesso.

Clique em ROAs. Você verá seus prefixos anunciados. (Se não aparecer atualize a página, pode levar uns minutos)

Agora precisamos adicionar nossos ROAs, clique em Add ROA/Adicionar ROA

Adicione todos seus prefixos

ROAs adicionados com sucesso! Nosso RPKI está finalizado!

Para validar você pode acessar os Routinator da ripe.net (ou crie o seu), mas tenha paciência, aguarde pelo menos 1 hora antes de arrancar os cabelos se não validar. https://rpki-validator.ripe.net/

Não podemos esquecer o firewall, usarei o nftables

Instale e ative-o para iniciar com o sistema. (No Debian 11 nftables já é o subistituto do iptables, não é necessários instalar, mas é necessário dar um enable)

Edite as regras

Neste exemplo eu acessível apenas deixo apenas aberto para 200.200.200.0/22 e 192.168.0.0/24

Reinicie o serviço

Verificar as regras:

Backup

Não esqueça de colocar o diretório em suas políticas de backups: /var/lib/krill/. Uma dica é o tutorial: Criando backups de forma simples e enviando para o Telegram ou servidor via SSH

Bônus – Múltiplos CA

Se quiser hospedar as CA de outros provedores ou é responsável por mais de um AS, basta adicionar nova CA pelo cliente do terminal, e assim será possível gerenciar pela interface web (lagosta)

Ex:


Deixou meu agradecimento ao amigo @GlauberMattar por essa dica.

Monitoramento

Template Zabbix 5 e 4.4 para monitorar se a porta 3000 está respondendo. RR Krill Zabbix 5 / RR Krill Zabbix 4.4

Leitura recomendada:

Instalação do Routinator 3000, um software para validação RPKI

Erros:

Verifique se a hora do servidor está correta!

Se desejar garantir coloque no cron para acertar a hora todos dia a meia noite, ex:

Adicione

Curtiu o conteúdo? Quer me ajudar manter essa p*** ? 🙂

Se quiser fazer uma doação para o café ficarei muito feliz pelo seu reconhecimento!

Participe do canal no telegram para ficar atualizado sempre que publicar um novo tutorial.

Se não puder doar pode deixar seu agradecimento nos comentário também ficarei feliz em saber que ajudei. Se tiver qualquer pergunta deixe-a também. Se preferir entrar em Contato clique aqui.

Abraço!

Fontes:
https://github.com/NLnetLabs/krill
https://rpki.readthedocs.io/en/latest/krill/get-started.html
https://registro.br/tecnologia/numeracao/rpki/

Rudimar Remontti

Trabalho atualmente como Gerente de Redes em um Provedor de Internet no Rio Grande do Sul.

Você pode gostar...

33 Resultados

  1. Jocelio Almeida disse:

    E como o registro br sabe qual é o IP do servidor? fica ciptrografado na chave?

  2. Alex disse:

    Pessoal! Todos os dias meu KRILL está ficando desatualizado. Preciso reiniciar o serviço, Atualizar Parents e Atualizar Repositório para voltar. Do nada começou isso depois de muito tempo funcionando. Está atualizado krill para 0.14.4. Alguém passou por isso?

  3. Lucas disse:

    Boa tarde, o firewall e só pra questão de acessos não implica nas consultas do registro br?

  4. Allan disse:

    Boa Noite, Conseguiram rodar no Rocky Linux ? instalei tudo certo mais nao consigo acessar a WEB.

  5. Lucas disse:

    Uma duvida na parte Repository como faço pra atualizar a publicação remota

  6. junior maia disse:

    rudimar , fiz tudo conforme tutorial e tudo rodando 100 % porem , nao consigo nem por milagre , monitorar a porta 3000 , pelo zabbix o serviço simplismente informa que nao tem acesso , neste caso eu preciso instalar o agent no servidor ? , da uma luz por favor obrigado

  7. Reginaldo Aparecido Inácio da Silva disse:

    Deu esse erro no meu krill, “Failed to update BGP announcements: BGP RIS update error: Cannot get uri: request or response body error: error reading a body from connection: end of file before message length reached”, mas não estou achando como resolver.

    Sabem como posso proceder?

  8. Reginaldo Aparecido Inácio da Silva disse:

    Excelente tutorial como sempre! Uma duvida, de vez em quando o serviço para e tenho que startar manualmente, comportamento comum ou há algum problema? E sobre o zabbix sabe se tem o template pra versão 6?

  9. 0p3ns0urc3 disse:

    Segui os passos instalando em ubuntu-server 22.04 também funcionou algumas pequenas detalhes mas no geral deu certo, parabéns tutorial show

  10. Raphael Pontara disse:

    Fala Rudimar! Beleza?

    Eu segui o teu tutorial e deu super certo. Não tem como errar. Parabéns!

    Adicionalmente, eu busquei opções de adicionar um certificado para o domínio que eu criei para acessar o Lagosta, bem como proteger de acesso externo.

    Seguindo o tutorial do APNIC (https://blog.apnic.net/2021/02/09/how-to-run-krill-behind-an-nginx-reverse-proxy/), me veio a ideia de limitar o acesso através do próprio NGINX, adicionando a instrução “allow 203.0.113.0/24” e “deny all” ao escopo de configuração.

    Escolhi essa técnica pois, já que eu precisaria do nginx como proxy para implementar certificado https para criptografar a comunicação (e ficar mais bonitinho rsrs), eu não precisaria instalar um firewall para tal.

    Forte abraço e parabéns mais uma vez pela dedicação em manter esta super fonte de conhecimento que é o teu Blog.

  11. Matheus disse:

    Primeiramente obrigado pelo ótimo tutorial, algum problema de eu cadastrar meus /24 um por um do meu /21 ?

  12. Almir disse:

    Excelente, eu fiquei apenas em uma dúvida no momento da configuração ficou faltando apenas eu anunciar apenas um /24. Porém quando eu fui checar no Krill ele não achou. Como eu poderia adicionar esse /24 que ficou faltando ?

  13. Cristian Cardoso disse:

    Valeu pela postagem, me ajudou bastante na ativação do RPKI, a única diferença é que fiz no FreeBSD.

  14. Parabéns mestre, tutorial mastigadinho!! Perfeito !!
    PS: cat /etc/krill.conf |grep auth_token | cut -d'”‘ -s -f 2 mudou para cat /etc/krill.conf |grep admin_token | cut -d'”‘ -s -f 2
    na versão atual em 09-06-2021

    • Arthur Bernardes disse:

      Obrigado, Ricardo. Eu até achei que eu havia feito errado e decidi compilar ele ao invés de usar a instalação pelo repositório. Na instalação pelo código fonte, ainda mantém o “auth_token”, não sei porquê na versão dos repositórios isso foi alterado.

      Segue a versão que estou usando abaixo:

      root@krill:~# krill –version
      Krill 0.9.0

  15. stefano esmeris disse:

    este tutorial é muito bom. é sem duvida muito melhor e mais objetivo do que as documentações “oficiais” do NIC.BR
    Parabens!

  16. Jefferson Rodrigues disse:

    Tenho o Juniper, tenho que enviar alguma coisa para a operadora? informando sobre isso?

  17. Wagner Bento da Costa Junior disse:

    Parabéns pelo Tutorial.
    Qualidade 10000!!

  18. Diogo disse:

    Boa tarde, Parabéns. Próximo tutorial poderia ser de um validador, por exemplo o Routinator. hehehe! Show de bola.

  19. Ricardo Costa disse:

    Boa tarde, tenho uma duvida, no meu provedor uso Mikrotik, nele já consigo implementar RPKI?

    • Não, mas a princípio na versão 7 acredito que irá ter suporte pelo que podemos ver na versão beta. Mas é importante que vc configure seu RPKI mesmo que vc não tenha um roteador para aplicar filtros. Grandes operadoras já estão filtrando e “dando melhores rotas” vamos dizer assim para quem possui seu AS/Prefixos assinados com RPKI.

  20. Diogo disse:

    Tutorial de excelência, assim como todos os outros. Parabéns.

  21. David disse:

    Primeiramente Parabéns e obrigado pelo post.Na lista de permissões de endereços , quais endereços eu devo permitir ? vc postou uma classe lá 200.200.x no seu diagrama de rede à quem pertenceria esses endereços , tomando como base esse post que vc fez.

  22. Leandro disse:

    Excelente. Parabéns demais

  1. 23 de julho de 2021

    […] Como configurar o RPKI de forma simples […]

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *