RPKI

RPKI (Resource Public Key Infrastructure) on tapa estää BGP-kaappaukset. Se käyttää kryptografisia allekirjoituksia vahvistamaan, että ASN saa ilmoittaa tietyn aliverkon.

ROA:t (Route Origination Authorizations) ovat RPKI:n avainkomponentteja. ROA:t sisältävät vain muutamia kohteita: ASN, aliverkko ja enimmäispituus. ROA allekirjoitetaan sitten kryptografisesti ja julkaistaan ​​julkisesti. Mikä tahansa reititin voi sitten käyttää ROA:ta varmistaakseen, että IP-tilan omistaja on valtuuttanut tietyn ilmoituksen.

{
    "asn" : "AS64496",
    "prefix" : "192.0.2.0/24",
    "maxLength" : 29,
    "ta" : "ARIN"
}

Tämä ilmoittaa, että se ASAS64496on valtuutettu ilmoittamaan 192.0.2.0/24ja kaikki pienemmät aliverkot aina /29s asti.

Sitä vastoin seuraava sallisi vain AS64496ilmoittaa 192.0.2.0/24 tarkasti . Tämän alueen pienemmät aliverkot eivät ole sallittuja.

{
    "asn" : "AS64496",
    "prefix" : "192.0.2.0/24",
    "maxLength" : 24,
    "ta" : "ARIN"
}

RIPE tarjoaa julkisen palvelun, josta voit etsiä yksittäisiä ROA:ita .

Vultr tarkistaa jokaisen asiakkaan aliverkon RPKI-tilan iltaisin. Voit katsoa tilan täältä . Näet tässä muutamia eri tiloja:

• Valid: Pystyimme varmistamaan, että ASN/etuliite-parilla on ROA. Tämä on tila, jonka haluat saada.
• Unknown: Annetulle etuliitteelle ei ole ROA:ta. Tämä on se, mitä näet suurimmassa osassa tilaa. Et yleensä näe mitään ongelmia tässä tilassa, koska mikään Internet-palveluntarjoaja ei todellakaan vaadi RPKI:tä näinä päivinä.

Nämä tilat voivat aiheuttaa sen, että IP-tilasi ei ole käytettävissä Internetin eri osissa, ja ne tulee korjata. Erityisesti et ehkä voi tavoittaa Cloudflarea IP-tilasta virheellisillä RPKI-allekirjoituksilla. Lisäksi monet Internet-palveluntarjoajat Afrikassa ovat sitoutuneet ottamaan RPKI:n käyttöön 2019-04-01, mikä tarkoittaa, että virheelliset etuliitteet eivät ole käytettävissä siellä. AT&T on lopettanut virheellisten RPKI-ilmoitusten hyväksymisen 11.2.2019 alkaen.

Virheellisiä allekirjoituksia on useita eri tyyppejä:

• Invalid ASN: Tälle etuliitteelle on olemassa vähintään yksi ROA, mutta yksikään ASN ei vastaa sitä, mitä tilisi on määritetty. Jos käytät yksityistä ASN:ää, ROA:ssasi pitäisi olla ASN ( 20473).
• Invalid Prefix Length: Löysimme ROA:n, joka vastaa tätä etuliitettä/ASN:ää, mutta suurin sallittu etuliitteen pituus ei ole oikea. Tämä tarkoittaa yleensä, että sinun on annettava uusi ROA, jonka etuliitteen enimmäispituus on asetettu 24IPv4:lle tai 48IPv6:lle. Voit myös antaa uuden ROA:n pienemmälle etuliitteelle.

RPKI voidaan määrittää RIR:n kautta (RIPE, ARIN, APNIC ja niin edelleen). Vain IP-tilan omistaja voi hallita RPKI:n ROA:ita. Jos olet vuokraamassa IP-tilaa, sinun tulee ottaa yhteyttä vuokraamaan yritykseen saadaksesi apua RPKI:n konfiguroinnissa.

Katso lisätietoja seuraavista asiakirjoista:

• https://www.arin.net/resources/rpki/index.html
• https://www.apnic.net/get-ip/faqs/rpki/
• https://www.ripe.net/manage-ips-and-asns/resource-management/certification
• https://blog.cloudflare.com/rpki/
• https://nlnetlabs.nl/projects/rpki/faq/
• https://afnog.org/pipermail/afnog/2018-November/003532.html