RPKI

RPKI (Resource Public Key Infrastructure) er en måde at hjælpe med at forhindre BGP-kapring. Den bruger kryptografiske signaturer til at validere, at et ASN har tilladelse til at annoncere et bestemt undernet.

ROA'er (Route Origination Authorizations) er nøglekomponenterne i RPKI. ROA'er indeholder kun nogle få elementer: ASN, undernet og maks. længde. ROA'en signeres derefter kryptografisk og offentliggøres offentligt. Enhver router kan derefter bruge ROA til at bekræfte, at en bestemt meddelelse er godkendt af ejeren af ​​IP-pladsen.

{
    "asn" : "AS64496",
    "prefix" : "192.0.2.0/24",
    "maxLength" : 29,
    "ta" : "ARIN"
}

Dette angiver, at ASAS64496er autoriseret til at annoncere 192.0.2.0/24og eventuelle mindre undernet ned til /29s.

I modsætning hertil vil det følgende kun tillade AS64496at annoncere 192.0.2.0/24 nøjagtigt . Mindre undernet fra dette område ville ikke være tilladt.

{
    "asn" : "AS64496",
    "prefix" : "192.0.2.0/24",
    "maxLength" : 24,
    "ta" : "ARIN"
}

RIPE tilbyder en offentlig service, hvor du kan slå individuelle ROA'er op .

Vultr kontrollerer RPKI-statussen for hvert kundeundernet hver nat. Du kan se status her . Der er et par forskellige tilstande, du vil se her:

• Valid: Vi var i stand til at verificere, at der eksisterer en ROA for ASN/præfiks-parret. Dette er den tilstand, du ønsker at have.
• Unknown: Der findes ingen ROA for det givne præfiks. Dette er, hvad du vil se for langt størstedelen af ​​rummet. Du vil generelt ikke se nogen problemer med denne tilstand, da ingen internetudbydere virkelig kræver RPKI i disse dage.

Disse tilstande kan forårsage, at dit IP-rum ikke er tilgængeligt for forskellige dele af internettet og bør rettes. Især er du muligvis ikke i stand til at nå Cloudflare fra IP-plads med ugyldige RPKI-signaturer. Også mange internetudbydere i Afrika har forpligtet sig til at aktivere RPKI den 2019-04-01, hvilket betyder, at ugyldige præfikser ikke vil være tilgængelige der. AT&T er holdt op med at acceptere RPKI ugyldige meddelelser fra 2019-02-11.

Der er et par forskellige typer ugyldige signaturer:

• Invalid ASN: Der findes mindst én ROA for dette præfiks, men ingen af ​​ASN'erne matcher det, din konto er konfigureret til. Hvis du bruger et privat ASN, skal dine ROA'er angive vores ASN ( 20473).
• Invalid Prefix Length: Vi fandt en ROA, der matcher dette præfiks/ASN, men den maksimalt tilladte præfikslængde er ikke korrekt. Dette betyder generelt, at du skal udstede en ny ROA med den maksimale præfikslængde indstillet til 24for IPv4 eller 48for IPv6. Du kan også udstede en ny ROA for det mindre præfiks.

RPKI kan sættes op via din RIR (RIPE, ARIN, APNIC og så videre). Kun ejeren af ​​IP-pladsen kan administrere RPKI ROA'er. Hvis du lejer IP-plads, skal du kontakte den virksomhed, du lejer fra, for at få hjælp til at konfigurere RPKI.

Se følgende dokumentation for mere information:

• https://www.arin.net/resources/rpki/index.html
• https://www.apnic.net/get-ip/faqs/rpki/
• https://www.ripe.net/manage-ips-and-asns/resource-management/certification
• https://blog.cloudflare.com/rpki/
• https://nlnetlabs.nl/projects/rpki/faq/
• https://afnog.org/pipermail/afnog/2018-November/003532.html