RPKI

RPKI (रिसोर्स पब्लिक की इन्फ्रास्ट्रक्चर) बीजीपी अपहरण को रोकने में मदद करने का एक तरीका है। यह क्रिप्टोग्राफ़िक हस्ताक्षरों का उपयोग यह प्रमाणित करने के लिए करता है कि एक ASN को किसी विशेष सबनेट की घोषणा करने की अनुमति है।

आरओएएस (रूट ओरिजनल ऑथोराइजेशन) आरपीकेआई के प्रमुख घटक हैं। ROAs में केवल कुछ आइटम होते हैं: ASN, सबनेट और अधिकतम लंबाई। आरओए को तब क्रिप्टोग्राफिक रूप से हस्ताक्षरित किया जाता है और सार्वजनिक रूप से प्रकाशित किया जाता है। कोई भी राउटर तब आरओए का उपयोग यह सत्यापित करने के लिए कर सकता है कि एक विशेष घोषणा आईपी स्पेस के मालिक द्वारा अधिकृत है।

{
    "asn" : "AS64496",
    "prefix" : "192.0.2.0/24",
    "maxLength" : 29,
    "ta" : "ARIN"
}

यह बताता है कि ASAS64496घोषणा करने के लिए अधिकृत है 192.0.2.0/24और किसी भी छोटे सबनेट को /29एस।

इसके विपरीत, निम्नलिखित केवल सटीक रूपAS64496 से घोषणा करने की अनुमति देगा । इस सीमा से छोटे सबनेट को अनुमति नहीं दी जाएगी।192.0.2.0/24

{
    "asn" : "AS64496",
    "prefix" : "192.0.2.0/24",
    "maxLength" : 24,
    "ta" : "ARIN"
}

RIPE एक सार्वजनिक सेवा प्रदान करता है जहाँ आप अलग-अलग ROAs देख सकते हैं ।

Vultr रात में हर ग्राहक सबनेट की RPKI स्थिति की जाँच करता है। आप यहां स्थिति देख सकते हैं । कुछ अलग राज्य हैं जिन्हें आप यहाँ देखेंगे:

• Valid: हम यह सत्यापित करने में सक्षम थे कि ASA / उपसर्ग जोड़ी के लिए एक ROA मौजूद है। यह वह राज्य है जो आप चाहते हैं।
• Unknown: दिए गए उपसर्ग के लिए कोई ROA मौजूद नहीं है। यह वही है जो आप अंतरिक्ष के विशाल बहुमत के लिए देखेंगे। आप आमतौर पर इस राज्य के साथ कोई समस्या नहीं देखेंगे, क्योंकि इन दिनों कोई भी आईएसपी वास्तव में आरपीकेआई को बहाल नहीं कर रहा है।

ये राज्य आपके आईपी स्थान को इंटरनेट के विभिन्न हिस्सों में अनुपलब्ध होने का कारण बन सकते हैं, और इसे ठीक किया जाना चाहिए। विशेष रूप से, आप अमान्य RPKI हस्ताक्षरों के साथ IP स्थान से Cloudflare तक पहुँचने में सक्षम नहीं हो सकते हैं। इसके अलावा, अफ्रीका में कई ISP ने 2019-04-01 को RPKI को सक्षम करने के लिए प्रतिबद्ध किया है, जिसका अर्थ है कि अमान्य उपसर्गों को वहां दोबारा नहीं लाया जाएगा। एटी एंड टी ने 2019-02-11 तक आरपीकेआई की अवैध घोषणाओं को स्वीकार करना बंद कर दिया है।

कुछ अलग प्रकार के अमान्य हस्ताक्षर हैं:

• Invalid ASN: इस उपसर्ग के लिए कम से कम एक ROA मौजूद है, हालांकि ASNs से कोई भी मेल नहीं खाता है कि आपका खाता किसके लिए कॉन्फ़िगर किया गया है। यदि आप एक निजी ASN का उपयोग कर रहे हैं, तो आपके ROAs को हमारे ASN ( 20473) को सूचीबद्ध करना चाहिए ।
• Invalid Prefix Length: हमने एक ROA पाया जो इस उपसर्ग / ASN से मेल खाता है, हालाँकि अधिकतम अनुमत उपसर्ग लंबाई सही नहीं है। इसका आम तौर पर मतलब है कि आपको 24IPv4 के लिए या 48IPv6 के लिए निर्धारित अधिकतम उपसर्ग लंबाई के साथ एक नया ROA जारी करने की आवश्यकता होगी । आप छोटे उपसर्ग के लिए एक नया ROA भी जारी कर सकते हैं।

RPKI को आपके RIR (RIPE, ARIN, APNIC वगैरह) के जरिए सेट किया जा सकता है। केवल IP स्पेस का मालिक RPKI ROAs का प्रबंधन कर सकता है। यदि आप आईपी स्पेस को पट्टे पर दे रहे हैं, तो आपको उस कंपनी से संपर्क करने की आवश्यकता होगी जिसे आप RPKI को कॉन्फ़िगर करने में सहायता के लिए पट्टे पर दे रहे हैं।

अधिक जानकारी के लिए निम्नलिखित दस्तावेज देखें:

• https://www.arin.net/resources/rpki/index.html
• https://www.apnic.net/get-ip/faqs/rpki/
• https://www.ripe.net/manage-ips-and-asns/resource-management/certification
• https://blog.cloudflare.com/rpki/
• https://nlnetlabs.nl/projects/rpki/faq/
• https://afnog.org/pipermail/afnog/2018-November/003532.html