RPKI

RPKI (Resource Public Key Infrastructure) - это способ предотвратить угон BGP. Он использует криптографические подписи для проверки того, что ASN разрешено объявлять определенную подсеть.

ROA (разрешения на создание маршрутов) являются ключевыми компонентами RPKI. ROA содержат только несколько элементов: ASN, подсеть и максимальная длина. ROA затем криптографически подписывается и публикуется публично. Затем любой маршрутизатор может использовать ROA для проверки того, что конкретное объявление разрешено владельцем IP-пространства.

{
    "asn" : "AS64496",
    "prefix" : "192.0.2.0/24",
    "maxLength" : 29,
    "ta" : "ARIN"
}

Здесь указывается, что ASAS64496разрешено объявлять 192.0.2.0/24и любые меньшие подсети вплоть до /29s.

В отличие от этого, следующее позволит только AS64496объявить 192.0.2.0/24 точно . Меньшие подсети из этого диапазона не будут разрешены.

{
    "asn" : "AS64496",
    "prefix" : "192.0.2.0/24",
    "maxLength" : 24,
    "ta" : "ARIN"
}

RIPE предлагает государственную услугу, где вы можете посмотреть отдельные ROA .

Vultr проверяет статус RPKI каждой подсети клиента каждую ночь. Вы можете просмотреть статус здесь . Здесь вы увидите несколько разных состояний:

• ValidМы смогли проверить, что ROA существует для пары ASN / префикс. Это состояние, которое вы хотите иметь.
• Unknown: Для данного префикса не существует ROA. Это то, что вы увидите для подавляющего большинства пространства. Как правило, вы не увидите никаких проблем с этим состоянием, поскольку в наши дни никакие интернет-провайдеры не требуют RPKI.

Эти состояния могут привести к тому, что ваше IP-пространство будет недоступно для различных частей Интернета, и его следует исправить. Примечательно, что вы не сможете получить доступ к Cloudflare из пространства IP с недопустимыми сигнатурами RPKI. Кроме того, многие интернет-провайдеры в Африке взяли на себя обязательство включить RPKI в 2019-04-01, что означает, что недопустимые префиксы там не будут доступны. AT & T прекратила принимать недействительные объявления RPKI с 2019-02-11.

Существует несколько типов недействительных подписей:

• Invalid ASN: По крайней мере один ROA существует для этого префикса, однако ни один из ASN не соответствует тому, для чего настроена ваша учетная запись. Если вы используете частный ASN, в ваших ROA должен быть указан наш ASN ( 20473).
• Invalid Prefix Length: Мы нашли ROA, который соответствует этому префиксу / ASN, однако максимально допустимая длина префикса неверна. Как правило, это означает, что вам потребуется выпустить новый ROA с максимальной длиной префикса, установленной 24для IPv4 или 48для IPv6. Вы также можете выдать новый ROA для меньшего префикса.

RPKI можно настроить через RIR (RIPE, ARIN, APNIC и т. Д.). Только владелец IP-пространства может управлять ROA RPKI. Если вы арендуете IP-пространство, вам необходимо связаться с компанией, у которой вы арендуете, для помощи в настройке RPKI.

См. Следующую документацию для получения дополнительной информации:

• https://www.arin.net/resources/rpki/index.html
• https://www.apnic.net/get-ip/faqs/rpki/
• https://www.ripe.net/manage-ips-and-asns/resource-management/certification
• https://blog.cloudflare.com/rpki/
• https://nlnetlabs.nl/projects/rpki/faq/
• https://afnog.org/pipermail/afnog/2018-November/003532.html