RPKI

RPKI (Prasarana Kunci Awam Sumber) adalah cara untuk membantu mencegah rampasan BGP. Ia menggunakan tanda tangan kriptografi untuk mengesahkan bahawa ASN dibenarkan untuk mengumumkan subnet tertentu.

ROA (Keizinan Asal Laluan) adalah komponen utama RPKI. ROA hanya mengandungi beberapa item: ASN, subnet, dan panjang maksimum. ROA kemudian ditandatangani secara kriptografi dan diterbitkan secara terbuka. Setiap penghala kemudian dapat menggunakan ROA untuk mengesahkan bahawa pengumuman tertentu disahkan oleh pemilik ruang IP.

{
    "asn" : "AS64496",
    "prefix" : "192.0.2.0/24",
    "maxLength" : 29,
    "ta" : "ARIN"
}

Ini menyatakan bahawa ASAS64496dibenarkan untuk mengumumkan 192.0.2.0/24dan subnet yang lebih kecil hingga /29s.

Berbeza dengan ini, yang berikut hanya memungkinkan AS64496untuk mengumumkan dengan 192.0.2.0/24 tepat . Subnet yang lebih kecil dari julat ini tidak akan dibenarkan.

{
    "asn" : "AS64496",
    "prefix" : "192.0.2.0/24",
    "maxLength" : 24,
    "ta" : "ARIN"
}

RIPE menawarkan perkhidmatan awam di mana anda dapat mencari ROA individu .

Vultr memeriksa status RPKI setiap subnet pelanggan setiap malam. Anda boleh melihat statusnya di sini . Terdapat beberapa keadaan berbeza yang akan anda lihat di sini:

• Valid: Kami dapat mengesahkan bahawa ROA wujud untuk pasangan ASN / awalan. Inilah keadaan yang anda mahukan.
• Unknown: Tidak ada ROA untuk awalan yang diberikan. Inilah yang akan anda lihat untuk sebahagian besar ruang. Anda secara amnya tidak akan melihat masalah dengan keadaan ini, kerana tidak ada ISP yang benar-benar memerlukan RPKI hari ini.

Keadaan ini boleh menyebabkan ruang IP anda tidak tersedia untuk pelbagai bahagian internet, dan harus diperbetulkan. Terutama, anda mungkin tidak dapat menjangkau Cloudflare dari ruang IP dengan tandatangan RPKI yang tidak sah. Juga, banyak ISP di Afrika telah berkomitmen untuk mengaktifkan RPKI pada 2019-04-01, yang bermaksud bahawa awalan tidak sah tidak dapat dicapai di sana. AT&T telah berhenti menerima pengumuman tidak sah RPKI pada 2019-02-11.

Terdapat beberapa jenis tandatangan tidak sah:

• Invalid ASN: Terdapat sekurang-kurangnya satu ROA untuk awalan ini, namun tidak ada ASN yang sesuai dengan yang dikonfigurasikan untuk akaun anda. Sekiranya anda menggunakan ASN peribadi, ROA anda harus menyenaraikan ASN kami ( 20473).
• Invalid Prefix Length: Kami menemui ROA yang sepadan dengan awalan / ASN ini, namun panjang awalan maksimum yang dibenarkan tidak betul. Ini secara amnya bermaksud anda perlu mengeluarkan ROA baru dengan panjang awalan maksimum yang ditetapkan 24untuk IPv4 atau 48untuk IPv6. Anda juga boleh mengeluarkan ROA baru untuk awalan yang lebih kecil.

RPKI boleh disediakan melalui RIR anda (RIPE, ARIN, APNIC dan sebagainya). Hanya pemilik ruang IP yang boleh menguruskan ROP RPKI. Sekiranya anda menyewa ruang IP, anda perlu menghubungi syarikat yang anda sewa untuk mendapatkan bantuan dalam mengkonfigurasi RPKI.

Lihat dokumentasi berikut untuk maklumat lebih lanjut:

• https://www.arin.net/resources/rpki/index.html
• https://www.apnic.net/get-ip/faqs/rpki/
• https://www.ripe.net/manage-ips-and-asns/resource-management/certification
• https://blog.cloudflare.com/rpki/
• https://nlnetlabs.nl/projeks/rpki/faq/
• https://afnog.org/pipermail/afnog/2018-November/003532.html