Passa al contenuto principale

9. Transport (Trasporto)

9. Transport (Trasporto)

La sessione a livello di trasporto tra un router e una cache trasporta i PDU binari in una sessione persistente.

Per prevenire lo spoofing della cache e gli attacchi DoS, è altamente auspicabile che il router e la cache siano autenticati l'uno con l'altro. Anche la protezione dell'integrità dei payload è auspicabile per proteggersi dagli attacchi man-in-the-middle (MITM).

Le cache e i router DEVONO implementare il trasporto non protetto su TCP utilizzando la porta rpki-rtr (323). Gli operatori DOVREBBERO utilizzare mezzi procedurali, ad esempio liste di controllo degli accessi (ACL), per ridurre l'esposizione ai problemi di autenticazione.

Se il TCP non protetto è il trasporto, la cache e i router DEVONO trovarsi sulla stessa rete affidabile e controllata.

Se disponibile per l'operatore, le cache e i router DEVONO utilizzare uno dei seguenti protocolli più protetti:

  • Le cache e i router DOVREBBERO utilizzare il trasporto TCP-AO [RFC5925] sulla porta rpki-rtr.
  • Le cache e i router POSSONO utilizzare il trasporto Secure Shell version 2 (SSHv2) [RFC4252] utilizzando la porta SSH normale.
  • Le cache e i router POSSONO utilizzare il trasporto TCP MD5 [RFC2385] utilizzando la porta rpki-rtr.
  • Le cache e i router POSSONO utilizzare il trasporto TCP over IPsec [RFC4301] utilizzando la porta rpki-rtr.
  • Le cache e i router POSSONO utilizzare il trasporto Transport Layer Security (TLS) [RFC5246] utilizzando la porta rpki-rtr-tls (324).
Ultimo aggiornamento il