RPKI

RPKI (Resource Public Key Infrastructure) is een manier om BGP-kaping te voorkomen. Het gebruikt cryptografische handtekeningen om te bevestigen dat een ASN een bepaald subnet mag aankondigen.

ROA's (Route Origination Authorizations) zijn de belangrijkste componenten van RPKI. ROA's bevatten slechts een paar items: ASN, subnet en maximale lengte. De ROA wordt vervolgens cryptografisch ondertekend en openbaar gemaakt. Elke router kan vervolgens de ROA gebruiken om te verifiëren dat een bepaalde aankondiging is geautoriseerd door de eigenaar van de IP-ruimte.

{
    "asn" : "AS64496",
    "prefix" : "192.0.2.0/24",
    "maxLength" : 29,
    "ta" : "ARIN"
}

Dit geeft aan dat het ASAS64496bevoegd is om aan te kondigen 192.0.2.0/24en alle kleinere subnetten tot /29en met s.

In tegenstelling hiermee zou het volgende alleen toelaten AS64496om 192.0.2.0/24 precies aan te kondigen . Kleinere subnetten uit dit bereik zijn niet toegestaan.

{
    "asn" : "AS64496",
    "prefix" : "192.0.2.0/24",
    "maxLength" : 24,
    "ta" : "ARIN"
}

RIPE biedt een openbare dienst waar u individuele ROA's kunt opzoeken .

Vultr controleert elke nacht de RPKI-status van elk klantensubnet. Je kunt de status hier bekijken . Er zijn een paar verschillende staten die je hier zult zien:

• Valid: We hebben kunnen verifiëren dat er een ROA bestaat voor het ASN / prefix-paar. Dit is de staat die je wilt hebben.
• Unknown: Er bestaat geen ROA voor het opgegeven voorvoegsel. Dit is wat je zult zien in de overgrote meerderheid van de ruimte. U zult over het algemeen geen problemen met deze staat zien, aangezien geen ISP's tegenwoordig echt RPKI nodig hebben.

Deze toestanden kunnen ervoor zorgen dat uw IP-ruimte niet beschikbaar is voor verschillende delen van internet en moet worden gecorrigeerd. Het is met name mogelijk dat u Cloudflare niet kunt bereiken vanuit IP-ruimte met ongeldige RPKI-handtekeningen. Ook hebben veel ISP's in Afrika toegezegd RPKI op 01-04-2019 in te schakelen, wat betekent dat ongeldige voorvoegsels daar niet bereikbaar zijn. AT&T accepteert niet langer ongeldige aankondigingen van RPKI vanaf 2019-02-11.

Er zijn een paar verschillende soorten ongeldige handtekeningen:

• Invalid ASN: Er bestaat ten minste één ROA voor dit voorvoegsel, maar geen van de ASN's komt overeen met waarvoor uw account is geconfigureerd. Als u een privé-ASN gebruikt, moeten uw ROA's onze ASN ( 20473) vermelden.
• Invalid Prefix Length: We hebben een ROA gevonden die overeenkomt met dit voorvoegsel / ASN, maar de maximaal toegestane lengte van het voorvoegsel is niet correct. Dit betekent over het algemeen dat u een nieuwe ROA moet uitgeven met de maximale prefixlengte ingesteld op 24voor IPv4 of 48voor IPv6. U kunt ook een nieuwe ROA uitgeven voor het kleinere voorvoegsel.

RPKI kan worden ingesteld via uw RIR (RIPE, ARIN, APNIC enzovoort). Alleen de eigenaar van IP-ruimte kan RPKI ROA's beheren. Als u IP-ruimte huurt, moet u contact opnemen met het bedrijf waar u van leaset voor hulp bij het configureren van RPKI.

Zie de volgende documentatie voor meer informatie:

• https://www.arin.net/resources/rpki/index.html
• https://www.apnic.net/get-ip/faqs/rpki/
• https://www.ripe.net/manage-ips-and-asns/resource-management/certification
• https://blog.cloudflare.com/rpki/
• https://nlnetlabs.nl/projects/rpki/faq/
• https://afnog.org/pipermail/afnog/2018-November/003532.html