RPKI

RPKI (Resource Public Key Infrastructure) este o modalitate de a ajuta la prevenirea deturnării de BGP. Utilizează semnături criptografice pentru a valida faptul că un ASN are voie să anunțe o anumită subrețea.

ROA-urile (autorizații de origine a traseului) sunt componentele cheie ale RPKI. ROA-urile conțin doar câteva elemente: ASN, subrețea și lungimea maximă. ROA este apoi semnat criptografic și este publicat public. Orice router poate utiliza apoi ROA pentru a verifica dacă un anumit anunț este autorizat de proprietarul spațiului IP.

{
    "asn" : "AS64496",
    "prefix" : "192.0.2.0/24",
    "maxLength" : 29,
    "ta" : "ARIN"
}

Aceasta afirmă că ASAS64496este autorizat să anunțe 192.0.2.0/24și orice subrețele mai mici până la /29s.

Spre deosebire de aceasta, următoarele ar permite AS64496să anunțe 192.0.2.0/24 exact . Subnetele mai mici din acest interval nu ar fi permise.

{
    "asn" : "AS64496",
    "prefix" : "192.0.2.0/24",
    "maxLength" : 24,
    "ta" : "ARIN"
}

RIPE oferă un serviciu public în care puteți consulta ROA-uri individuale .

Vultr verifică starea RPKI a fiecărei subrețele a clienților pe noapte. Puteți vizualiza starea aici . Există câteva stări diferite pe care le veți vedea aici:

• Valid: Am putut verifica dacă există un ROA pentru perechea ASN / prefix. Aceasta este starea pe care vrei să o ai.
• Unknown: Nu există ROA pentru prefixul dat. Asta veți vedea pentru marea majoritate a spațiului. În general, nu veți vedea nicio problemă cu această stare, deoarece niciun ISP nu necesită într-adevăr RPKI în aceste zile.

Aceste stări pot face ca spațiul dvs. IP să fie indisponibil în diverse părți ale internetului și să fie corectat. În mod special, este posibil să nu puteți ajunge la Cloudflare din spațiul IP cu semnături RPKI nevalide. De asemenea, multe ISP-uri din Africa s-au angajat să activeze RPKI pe 2019-04-01, ceea ce înseamnă că prefixurile nevalide nu vor putea fi accesate acolo. AT&T a încetat să mai accepte anunțuri nevalide RPKI din 2019-02-11.

Există câteva tipuri diferite de semnături nevalide:

• Invalid ASN: Există cel puțin un ROA pentru acest prefix, cu toate acestea, niciuna dintre ASN-uri nu se potrivesc cu configurarea contului dvs. Dacă utilizați un ASN privat, ROA-urile dvs. ar trebui să enumere ASN-ul nostru ( 20473).
• Invalid Prefix Length: Am găsit un ROA care se potrivește cu acest prefix / ASN, însă lungimea maximă a prefixului nu este corectă. Acest lucru înseamnă, în general, că va trebui să emiteți un nou ROA cu lungimea maximă a prefixului setată la 24IPv4 sau 48IPv6. De asemenea, puteți emite un nou ROA pentru prefixul mai mic.

RPKI poate fi configurat prin intermediul RIR (RIPE, ARIN, APNIC și așa mai departe). Doar proprietarul spațiului IP poate gestiona ROA-urile RPKI. Dacă închiriați spațiu IP, va trebui să contactați compania din care închiriați pentru asistență la configurarea RPKI.

Consultați documentația următoare pentru mai multe informații:

• https://www.arin.net/resources/rpki/index.html
• https://www.apnic.net/get-ip/faqs/rpki/
• https://www.ripe.net/manage-ips-and-asns/resource-management/certification
• https://blog.cloudflare.com/rpki/
• https://nlnetlabs.nl/projects/rpki/faq/
• https://afnog.org/pipermail/afnog/2018-November/003532.html