RPKI

RPKI (Infrastruktura e çelësit publik të burimeve) është një mënyrë për të ndihmuar në parandalimin e rrëmbimit të BGP. Ai përdor nënshkrime kriptografike për të vërtetuar që një ASN lejohet të shpallë një nënrrjet të veçantë.

ROA (Autorizimet e origjinës së rrugës) janë përbërësit kryesorë të RPKI. ROA-të përmbajnë vetëm disa artikuj: ASN, nënrrjet dhe gjatësinë maksimale. ROA më pas nënshkruhet kriptografikisht dhe publikohet publikisht. Më pas, çdo ruter mund të përdorë ROA për të verifikuar që një njoftim i veçantë është i autorizuar nga pronari i hapësirës IP.

{
    "asn" : "AS64496",
    "prefix" : "192.0.2.0/24",
    "maxLength" : 29,
    "ta" : "ARIN"
}

Kjo thotë se ASAS64496është i autorizuar të shpallë 192.0.2.0/24dhe çdo nënrrjet më të vogël deri në /29s.

Në ndryshim nga kjo, sa vijon do të lejojë vetëm AS64496të shpallet 192.0.2.0/24 saktësisht . Nënrrjetet më të vogla nga kjo gamë nuk do të lejohen.

{
    "asn" : "AS64496",
    "prefix" : "192.0.2.0/24",
    "maxLength" : 24,
    "ta" : "ARIN"
}

RIPE ofron një shërbim publik ku mund të kërkoni ROA individuale .

Vultr kontrollon statusin RPKI të çdo nënrrjeti të klientit çdo natë. Ju mund ta shikoni statusin këtu . Ka disa shtete të ndryshme që do të shihni këtu:

• Valid: Ne ishim në gjendje të verifikonim që ekziston një ROA për çiftin ASN/prefiks. Ky është gjendja që dëshironi të keni.
• Unknown: Nuk ekziston asnjë ROA për prefiksin e dhënë. Kjo është ajo që do të shihni për shumicën dërrmuese të hapësirës. Në përgjithësi nuk do të shihni ndonjë problem me këtë gjendje, pasi asnjë ISP nuk kërkon vërtet RPKI këto ditë.

Këto gjendje mund të bëjnë që hapësira juaj IP të mos jetë e disponueshme për pjesë të ndryshme të internetit dhe duhet korrigjuar. Veçanërisht, mund të mos jeni në gjendje të arrini në Cloudflare nga hapësira IP me nënshkrime të pavlefshme RPKI. Gjithashtu, shumë ISP në Afrikë janë zotuar të aktivizojnë RPKI në 2019-04-01, që do të thotë se prefikset e pavlefshme nuk do të jenë të arritshme atje. AT&T ka ndaluar pranimin e njoftimeve të pavlefshme RPKI që nga 2019-02-11.

Ekzistojnë disa lloje të ndryshme nënshkrimesh të pavlefshme:

• Invalid ASN: Ekziston të paktën një ROA për këtë prefiks, megjithatë asnjë nga ASN-të nuk përputhet me atë për të cilën është konfiguruar llogaria juaj. Nëse jeni duke përdorur një ASN private, ROA-të tuaja duhet të listojnë ASN-në ​​tonë ( 20473).
• Invalid Prefix Length: Ne gjetëm një ROA që përputhet me këtë prefiks/ASN, megjithatë gjatësia maksimale e lejuar e prefiksit nuk është e saktë. Kjo në përgjithësi do të thotë që ju duhet të lëshoni një ROA të re me gjatësinë maksimale të prefiksit të caktuar 24për IPv4 ose 48për IPv6. Ju gjithashtu mund të lëshoni një ROA të re për prefiksin më të vogël.

RPKI mund të konfigurohet nëpërmjet RIR tuaj (RIPE, ARIN, APNIC dhe kështu me radhë). Vetëm pronari i hapësirës IP mund të menaxhojë RPKI ROA. Nëse po jepni me qira hapësirë ​​IP, do t'ju duhet të kontaktoni kompaninë nga e cila po jepni me qira për ndihmë në konfigurimin e RPKI.

Shikoni dokumentacionin e mëposhtëm për më shumë informacion:

• https://www.arin.net/resources/rpki/index.html
• https://www.apnic.net/get-ip/faqs/rpki/
• https://www.ripe.net/manage-ips-and-asns/resource-management/certification
• https://blog.cloudflare.com/rpki/
• https://nlnetlabs.nl/projects/rpki/faq/
• https://afnog.org/pipermail/afnog/2018-November/003532.html