RPKI

RPKI (Resource Public Key Infrastructure) est un moyen de prévenir le détournement de BGP. Il utilise des signatures cryptographiques pour valider qu'un ASN est autorisé à annoncer un sous-réseau particulier.

Les ROA (Route Origination Authorization) sont les composants clés de RPKI. Les ROA ne contiennent que quelques éléments: ASN, sous-réseau et longueur maximale. Le ROA est ensuite signé cryptographiquement et publié publiquement. Tout routeur peut ensuite utiliser le ROA pour vérifier qu'une annonce particulière est autorisée par le propriétaire de l'espace IP.

{
    "asn" : "AS64496",
    "prefix" : "192.0.2.0/24",
    "maxLength" : 29,
    "ta" : "ARIN"
}

Cela indique qu'il ASAS64496est autorisé à annoncer 192.0.2.0/24et tout sous-réseau plus petit jusqu'à l' /29art.

Contrairement à cela, ce qui suit ne permettrait AS64496d'annoncer 192.0.2.0/24 exactement . Les sous-réseaux plus petits de cette plage ne seraient pas autorisés.

{
    "asn" : "AS64496",
    "prefix" : "192.0.2.0/24",
    "maxLength" : 24,
    "ta" : "ARIN"
}

RIPE offre un service public où vous pouvez rechercher des ER individuels .

Vultr vérifie le statut RPKI de chaque sous-réseau client tous les soirs. Vous pouvez voir l'état ici . Il y a quelques états différents que vous verrez ici:

• Valid: Nous avons pu vérifier qu'un ROA existe pour la paire ASN / préfixe. C'est l'état que vous voulez avoir.
• Unknown: Aucun ROA n'existe pour le préfixe donné. C'est ce que vous verrez pour la grande majorité de l'espace. Vous ne verrez généralement aucun problème avec cet état, car aucun FAI ne demande vraiment RPKI ces jours-ci.

Ces états peuvent rendre votre espace IP indisponible pour diverses parties d'Internet et doivent être corrigés. Notamment, vous ne pourrez peut-être pas accéder à Cloudflare depuis l'espace IP avec des signatures RPKI non valides. De plus, de nombreux FAI en Afrique se sont engagés à activer RPKI le 2019-04-01, ce qui signifie que les préfixes non valides n'y seront pas accessibles. AT&T a cessé d'accepter les annonces invalides RPKI depuis le 2019-02-11.

Il existe différents types de signatures non valides:

• Invalid ASN: Au moins un ROA existe pour ce préfixe, mais aucun des ASN ne correspond à la configuration de votre compte. Si vous utilisez un ASN privé, vos ROA doivent répertorier notre ASN ( 20473).
• Invalid Prefix Length: Nous avons trouvé un ROA qui correspond à ce préfixe / ASN, mais la longueur de préfixe maximale autorisée n'est pas correcte. Cela signifie généralement que vous devez émettre un nouveau ROA avec la longueur de préfixe maximale définie 24pour IPv4 ou 48IPv6. Vous pouvez également émettre un nouveau ROA pour le préfixe plus petit.

RPKI peut être configuré via votre RIR (RIPE, ARIN, APNIC et ainsi de suite). Seul le propriétaire de l'espace IP peut gérer les ROA RPKI. Si vous louez de l'espace IP, vous devrez contacter la société auprès de laquelle vous louez pour obtenir de l'aide sur la configuration de RPKI.

Consultez la documentation suivante pour plus d'informations:

• https://www.arin.net/resources/rpki/index.html
• https://www.apnic.net/get-ip/faqs/rpki/
• https://www.ripe.net/manage-ips-and-asns/resource-management/certification
• https://blog.cloudflare.com/rpki/
• https://nlnetlabs.nl/projects/rpki/faq/
• https://afnog.org/pipermail/afnog/2018-November/003532.html