RPKI

RPKI (منبع زیرساخت کلید عمومی) روشی برای کمک به جلوگیری از ربودن BGP است. این از امضاهای رمزنگاری برای تأیید اینکه ASN مجاز به اعلام یک زیر شبکه خاص است ، استفاده می کند.

ROA (مجوزهای مبداء مسیر) مؤلفه های اصلی RPKI هستند. ROA فقط شامل چند مورد است: ASN ، زیر شبکه و حداکثر طول. ROA سپس به صورت رمزنگاری امضا شده و به صورت عمومی منتشر می شود. هر روتر می تواند از ROA استفاده کند تا تأیید کند که یک اعلامیه خاص توسط صاحب فضای IP مجاز است.

{
    "asn" : "AS64496",
    "prefix" : "192.0.2.0/24",
    "maxLength" : 29,
    "ta" : "ARIN"
}

این حالت را ASAS64496مجاز اعلام می کند 192.0.2.0/24و هر زیر شبکه کوچکتر را به /29s اعلام می کند.

برخلاف این ، موارد زیر فقط AS64496اعلام 192.0.2.0/24 دقیق می کنند . زیر شبکه های کوچکتر از این محدوده مجاز نمی باشند.

{
    "asn" : "AS64496",
    "prefix" : "192.0.2.0/24",
    "maxLength" : 24,
    "ta" : "ARIN"
}

RIPE یک سرویس عمومی ارائه می دهد که می توانید ROA های فردی را جستجو کنید .

Vultr وضعیت RPKI هر زیر شبکه مشتری هر شب را بررسی می کند. می توانید وضعیت را از اینجا مشاهده کنید . چند حالت مختلف وجود دارد که در اینجا مشاهده خواهید کرد:

• Valid: ما توانستیم تأیید کنیم که یک ROA برای جفت ASN / پیشوند وجود دارد. این دولتی است که شما می خواهید داشته باشید.
• Unknown: هیچ ROA برای پیشوند داده شده وجود ندارد. این همان چیزی است که شما برای اکثر قریب به اتفاق فضا خواهید دید. شما به طور کلی مشکلی با این حالت مشاهده نخواهید کرد ، زیرا هیچ ISP این روزها واقعاً RPKI را خنثی نمی کند.

این حالتها می توانند باعث شوند فضای IP شما در قسمتهای مختلف اینترنت در دسترس نباشد و ب��ید اصلاح شود. قابل ذکر است ، شما ممکن است نتوانید از فضای IP با امضای RPKI نامعتبر به Cloudflare برسید. همچنین ، بسیاری از ISP ها در آفریقا متعهد شده اند كه RPKI را در تاریخ 2019-04-01 فعال كنند ، به این معنی كه پیشوندهای نامعتبر در آنجا قابل دستیابی نخواهند بود. AT&T از تاریخ 2013-02-11 از پذیرش اعلامیه های نامعتبر RPKI متوقف شده است.

چند نوع مختلف از امضاهای نامعتبر وجود دارد:

• Invalid ASN: حداقل یک ROA برای این پیشوند وجود دارد ، اما هیچ یک از ASN ها مطابق با حساب شما برای پیکربندی نیستند. اگر از ASN خصوصی استفاده می کنید ، ROA های شما باید ASN ( 20473) ما را لیست کنند .
• Invalid Prefix Length: ما ROA را یافتیم که با این پیشوند / ASN مطابقت دارد ، اما حداکثر طول پیشوند مجاز صحیح نیست. این به طور کلی بدان معنی است که شما نیاز به صدور ROA جدید با حداکثر طول پیشوند تعیین شده 24برای IPv4 یا 48IPv6 دارید. همچنین می توانید ROA جدید را برای پیشوند کوچکتر صادر کنید.

RPKI را می توان از طریق RIR (RIPE ، ARIN ، APNIC و غیره) تنظیم کرد. فقط مالک فضای IP می تواند RPKI ROA را مدیریت کند. اگر در حال اجاره فضای IP هستید ، برای پیکربندی RPKI باید با شرکتی که از آن اجاره می کنید تماس بگیرید.

برای اطلاعات بیشتر به اسناد زیر مراجعه کنید:

• https://www.arin.net/res منابع/rpki/index.html
• https://www.apnic.net/get-ip/faqs/rpki/
• https://www.ripe.net/manage-ips-and-asns/resource-management/certification
• https://blog.cloudflare.com/rpki/
• https://nlnetlabs.nl/projects/rpki/faq/
• https://afnog.org/pipermail/afnog/2018-November/003532.html