RPKI

RPKI (Resource Public Key Infrastructure) é uma maneira de ajudar a impedir o seqüestro de BGP. Ele usa assinaturas criptográficas para validar que um ASN tem permissão para anunciar uma sub-rede específica.

ROAs (Autorizações de Originação de Rota) são os principais componentes do RPKI. Os ROAs contêm apenas alguns itens: ASN, sub-rede e comprimento máximo. O ROA é assinado criptograficamente e publicado publicamente. Qualquer roteador pode usar o ROA para verificar se um determinado anúncio é autorizado pelo proprietário do espaço IP.

{
    "asn" : "AS64496",
    "prefix" : "192.0.2.0/24",
    "maxLength" : 29,
    "ta" : "ARIN"
}

Indica que ASAS64496está autorizado a anunciar 192.0.2.0/24e quaisquer sub-redes menores até /29s.

Em contraste com isso, o seguinte só permitiria AS64496anunciar 192.0.2.0/24 exatamente . Sub-redes menores desse intervalo não seriam permitidas.

{
    "asn" : "AS64496",
    "prefix" : "192.0.2.0/24",
    "maxLength" : 24,
    "ta" : "ARIN"
}

O RIPE oferece um serviço público onde você pode procurar ROAs individuais .

O Vultr verifica o status RPKI de todas as sub-redes de clientes todas as noites. Você pode ver o status aqui . Existem alguns estados diferentes que você verá aqui:

• Valid: Conseguimos verificar se existe um ROA para o par ASN / prefixo. Este é o estado que você deseja ter.
• Unknown: Não existe ROA para o prefixo fornecido. É isso que você verá na grande maioria do espaço. Geralmente, você não verá nenhum problema com esse estado, já que nenhum provedor de serviços de Internet está realmente solicitando a RPKI atualmente.

Esses estados podem causar indisponibilidade do seu espaço IP em várias partes da Internet e devem ser corrigidos. Notavelmente, talvez você não consiga acessar o Cloudflare a partir do espaço IP com assinaturas RPKI inválidas. Além disso, muitos ISPs na África se comprometeram a habilitar o RPKI em 2019-04-01, o que significa que prefixos inválidos não serão alcançáveis ​​lá. A AT&T parou de aceitar anúncios inválidos da RPKI a partir de 11/02/2019.

Existem alguns tipos diferentes de assinaturas inválidas:

• Invalid ASN: Existe pelo menos um ROA para esse prefixo; no entanto, nenhum dos ASNs corresponde ao que sua conta está configurada. Se você estiver usando um ASN privado, seus ROAs deverão listar nosso ASN ( 20473).
• Invalid Prefix Length: Encontramos um ROA que corresponde a esse prefixo / ASN; no entanto, o tamanho máximo permitido do prefixo não está correto. Isso geralmente significa que você precisaria emitir um novo ROA com o comprimento máximo do prefixo definido 24para IPv4 ou 48IPv6. Você também pode emitir um novo ROA para o prefixo menor.

O RPKI pode ser configurado através do seu RIR (RIPE, ARIN, APNIC e assim por diante). Somente o proprietário do espaço IP pode gerenciar os ROAs RPKI. Se você estiver alugando espaço IP, entre em contato com a empresa da qual está alugando para obter assistência na configuração do RPKI.

Consulte a seguinte documentação para obter mais informações:

• https://www.arin.net/resources/rpki/index.html
• https://www.apnic.net/get-ip/faqs/rpki/
• https://www.ripe.net/manage-ips-and-asns/resource-management/certification
• https://blog.cloudflare.com/rpki/
• https://nlnetlabs.nl/projects/rpki/faq/
• https://afnog.org/pipermail/afnog/2018-November/003532.html