RPKI

RPKI (Infraestructura de clave pública de recursos) es una forma de ayudar a prevenir el secuestro de BGP. Utiliza firmas criptográficas para validar que un ASN puede anunciar una subred en particular.

Las ROA (autorizaciones de origen de ruta) son los componentes clave de RPKI. Los ROA solo contienen algunos elementos: ASN, subred y longitud máxima. El ROA se firma criptográficamente y se publica públicamente. Cualquier enrutador puede usar el ROA para verificar que un anuncio particular esté autorizado por el propietario del espacio IP.

{
    "asn" : "AS64496",
    "prefix" : "192.0.2.0/24",
    "maxLength" : 29,
    "ta" : "ARIN"
}

Esto indica que ASAS64496está autorizado para anunciar 192.0.2.0/24y cualquier subred más pequeña hasta /29s.

En contraste con esto, lo siguiente solo permitiría AS64496anunciar 192.0.2.0/24 exactamente . No se permitirán subredes más pequeñas de este rango.

{
    "asn" : "AS64496",
    "prefix" : "192.0.2.0/24",
    "maxLength" : 24,
    "ta" : "ARIN"
}

RIPE ofrece un servicio público donde puede buscar ROAs individuales .

Vultr comprueba el estado RPKI de cada subred de clientes todas las noches. Puede ver el estado aquí . Hay algunos estados diferentes que verá aquí:

• Valid: Pudimos verificar que existe un ROA para el par ASN / prefijo. Este es el estado que quieres tener.
• Unknown: No existe ROA para el prefijo dado. Esto es lo que verá en la gran mayoría del espacio. En general, no verá ningún problema con este estado, ya que ningún ISP realmente necesita RPKI en estos días.

Estos estados pueden hacer que su espacio IP no esté disponible en varias partes de Internet, y deben corregirse. En particular, es posible que no pueda llegar a Cloudflare desde el espacio IP con firmas RPKI no válidas. Además, muchos ISP en África se han comprometido a habilitar RPKI en 2019-04-01, lo que significa que los prefijos no válidos no serán accesibles allí. AT&T ha dejado de aceptar anuncios inválidos RPKI a partir del 2019-02-11.

Hay algunos tipos diferentes de firmas inválidas:

• Invalid ASN: Existe al menos un ROA para este prefijo, sin embargo, ninguno de los ASN coincide con lo que su cuenta está configurada. Si está utilizando un ASN privado, sus ROA deben incluir nuestro ASN ( 20473).
• Invalid Prefix Length: Encontramos un ROA que coincide con este prefijo / ASN, sin embargo, la longitud máxima permitida del prefijo no es correcta. Esto generalmente significa que necesitaría emitir un nuevo ROA con la longitud máxima de prefijo establecida 24para IPv4 o 48IPv6. También podría emitir un nuevo ROA para el prefijo más pequeño.

RPKI se puede configurar a través de su RIR (RIPE, ARIN, APNIC, etc.). Solo el propietario del espacio IP puede gestionar los ROA de RPKI. Si está alquilando espacio IP, deberá comunicarse con la empresa a la que está alquilando para obtener ayuda para configurar RPKI.

Consulte la siguiente documentación para obtener más información:

• https://www.arin.net/resources/rpki/index.html
• https://www.apnic.net/get-ip/faqs/rpki/
• https://www.ripe.net/manage-ips-and-asns/resource-management/certification
• https://blog.cloudflare.com/rpki/
• https://nlnetlabs.nl/projects/rpki/faq/
• https://afnog.org/pipermail/afnog/2018-November/003532.html