RPKI

RPKI (Infraestructura de clau pública de recursos) és una manera d'ajudar a prevenir el segrest de BGP. Utilitza signatures criptogràfiques per validar que un ASN pot anunciar una subxarxa determinada.

Les ROA (Route Origination Authorizations) són els components clau de RPKI. Els ROA només contenen alguns elements: ASN, subxarxa i longitud màxima. Aleshores, el ROA es signa criptogràficament i es publica públicament. A continuació, qualsevol encaminador pot utilitzar el ROA per verificar que un anunci concret està autoritzat pel propietari de l'espai IP.

{
    "asn" : "AS64496",
    "prefix" : "192.0.2.0/24",
    "maxLength" : 29,
    "ta" : "ARIN"
}

Això indica que ASAS64496està autoritzat per anunciar 192.0.2.0/24i qualsevol subxarxa més petita fins a /29s.

En contrast amb això, el següent només permetria AS64496anunciar 192.0.2.0/24 exactament . Les subxarxes més petites d'aquest interval no estarien permeses.

{
    "asn" : "AS64496",
    "prefix" : "192.0.2.0/24",
    "maxLength" : 24,
    "ta" : "ARIN"
}

RIPE ofereix un servei públic on podeu cercar ROA individuals .

Vultr comprova l'estat RPKI de cada subxarxa de client cada nit. Podeu veure l'estat aquí . Hi ha uns quants estats diferents que veureu aquí:

• Valid: hem pogut verificar que existeix un ROA per a la parella ASN/prefix. Aquest és l'estat que vols tenir.
• Unknown: no existeix cap ROA per al prefix donat. Això és el que veuràs a la gran majoria de l'espai. En general, no veureu cap problema amb aquest estat, ja que cap ISP realment requereix RPKI en aquests dies.

Aquests estats poden fer que el vostre espai IP no estigui disponible per a diverses parts d'Internet i s'haurien de corregir. En particular, és possible que no pugueu arribar a Cloudflare des de l'espai IP amb signatures RPKI no vàlides. A més, molts ISP a l'Àfrica s'han compromès a habilitar RPKI el 2019-04-01, la qual cosa significa que els prefixos no vàlids no s'hi podran accedir. AT&T ha deixat d'acceptar anuncis no vàlids de RPKI a partir de l'11/02/2019.

Hi ha diversos tipus de signatures no vàlides:

• Invalid ASN: existeix almenys un ROA per a aquest prefix, però cap dels ASN coincideix amb el que està configurat el vostre compte. Si utilitzeu un ASN privat, els vostres ROA haurien d'incloure el nostre ASN ( 20473).
• Invalid Prefix Length: Hem trobat un ROA que coincideix amb aquest prefix/ASN, però la longitud màxima permesa del prefix no és correcta. En general, això significa que hauríeu d'emetre un nou ROA amb la longitud màxima del prefix establerta a 24IPv4 o 48IPv6. També podeu emetre un ROA nou per al prefix més petit.

RPKI es pot configurar mitjançant el vostre RIR (RIPE, ARIN, APNIC, etc.). Només el propietari de l'espai IP pot gestionar els ROA RPKI. Si esteu llogant espai IP, haureu de contactar amb l'empresa a la qual esteu llogant per obtenir ajuda per configurar RPKI.

Consulteu la documentació següent per obtenir més informació:

• https://www.arin.net/resources/rpki/index.html
• https://www.apnic.net/get-ip/faqs/rpki/
• https://www.ripe.net/manage-ips-and-asns/resource-management/certification
• https://blog.cloudflare.com/rpki/
• https://nlnetlabs.nl/projects/rpki/faq/
• https://afnog.org/pipermail/afnog/2018-November/003532.html