A Test Framework for RPKI Prefix Validation in BGP Implementations

Abstract

Im Internet wird mit Border Gateway Protocol (BGP) geroutet. Durch die vertrauensbasierte Natur des Protokolls ist es aber anfällig für Angriffe. Um diese Angriffe zukünftig zu verhindern, wurde die Resource Public Key Infrastructure (RPKI) entwickelt. Sie erlaubt es IP-Präfix Besitzern, Betreibern von Autonomen Systemen (ASes) explizit die Benutzung ihrer Präfixe zu gestatten, und bietet damit eine Möglichkeit, die Annoncierung von Präfixen zu validieren. Diese Validierung in Border Gateway Protocol (BGP) Implementierungen zu integrieren ist allerdings nicht trivial. In dieser Bachelorarbeit wird ein Framework zum Testen der Korrektheit dieser Implementierungen entwickelt. Das Framework wird evaluiert, indem es für eine solche Implementierung angepasst und einige konkrete Tests auf Basis des Frameworks implementiert werden. Die Ausführung dieser Tests half beim Finden mehrerer Fehler in der getesteten Implementierung.

Routing on the internet happens via the Border Gateway Protocol (BGP). Due to its trust based nature it is susceptible to attacks. To mitigate these attacks the Resource Public Key Infrastructure (RPKI) has been developed. This allows IP-Prefix owners to explicitly allow certain Autonomous Systms (ASes) to announce it and thereby provide a way to validate prefix announcements. Integrating this validation into Border Gateway Protocol (BGP) implementations is not trivial though. In this bachelor thesis a framework to test the correctness of the validation results produced by these integrations is developed. The framework is evaluated by adapting it to a specific BGP implementation and implementing a set of concrete tests with the framework. Running these tests helped to find several bugs in the tested implementation.