9. Transport (Transport)

9. Transport (Transport)

Die Transportschicht-Sitzung zwischen einem Router und einem Cache überträgt die binären PDUs in einer persistenten Sitzung.

Um Cache-Spoofing und DoS-Angriffe zu verhindern, ist es sehr wünschenswert, dass Router und Cache sich gegenseitig authentifizieren. Integritätsschutz für Payloads ist ebenfalls wünschenswert, um vor Man-in-the-Middle (MITM)-Angriffen zu schützen.

Caches und Router MÜSSEN ungeschützten Transport über TCP unter Verwendung des Ports rpki-rtr (323) implementieren. Betreiber SOLLTEN verfahrenstechnische Mittel wie Zugriffskontrolllisten (ACLs) verwenden, um die Exposition gegenüber Authentifizierungsproblemen zu reduzieren.

Wenn ungeschütztes TCP der Transport ist, MÜSSEN Cache und Router im selben vertrauenswürdigen und kontrollierten Netzwerk sein.

Falls dem Betreiber verfügbar, MÜSSEN Caches und Router eines der folgenden besser geschützten Protokolle verwenden:

• Caches und Router SOLLTEN TCP-AO-Transport [RFC5925] über den rpki-rtr-Port verwenden.
• Caches und Router KÖNNEN Secure Shell version 2 (SSHv2) Transport [RFC4252] unter Verwendung des normalen SSH-Ports verwenden.
• Caches und Router KÖNNEN TCP MD5 Transport [RFC2385] unter Verwendung des rpki-rtr-Ports verwenden.
• Caches und Router KÖNNEN TCP over IPsec Transport [RFC4301] unter Verwendung des rpki-rtr-Ports verwenden.
• Caches und Router KÖNNEN Transport Layer Security (TLS) Transport [RFC5246] unter Verwendung des Ports rpki-rtr-tls (324) verwenden.