RPKI

RPKI (Resource Public Key Infrastructure) je način da se spriječi otmica BGP-a. Koristi kriptografske potpise kako bi potvrdio da je ASN-u dopušteno najaviti određenu podmrežu.

ROAs (Ovlaštenja za početak rute) ključne su komponente RPKI-ja. ROA sadrže samo nekoliko stavki: ASN, podmrežu i maksimalnu duljinu. ROA se zatim kriptografski potpisuje i javno objavljuje. Svaki usmjerivač tada može koristiti ROA kako bi potvrdio da je određena objava ovlaštena od strane vlasnika IP prostora.

{
    "asn" : "AS64496",
    "prefix" : "192.0.2.0/24",
    "maxLength" : 29,
    "ta" : "ARIN"
}

Ovo navodi da ASAS64496je ovlašteno najavljivati 192.0.2.0/24i sve manje podmreže do /29s.

Za razliku od ovoga, sljedeće bi omogućilo samo AS64496najavu 192.0.2.0/24 točno . Manje podmreže iz ovog raspona ne bi bile dopuštene.

{
    "asn" : "AS64496",
    "prefix" : "192.0.2.0/24",
    "maxLength" : 24,
    "ta" : "ARIN"
}

RIPE nudi javnu uslugu u kojoj možete potražiti pojedinačne ROA .

Vultr svake noći provjerava RPKI status svake podmreže korisnika. Status možete pogledati ovdje . Ovdje ćete vidjeti nekoliko različitih stanja:

• Valid: Uspjeli smo provjeriti postoji li ROA za par ASN/prefiks. Ovo je stanje koje želite imati.
• Unknown: ROA ne postoji za dati prefiks. To je ono što ćete vidjeti za veliku većinu prostora. Općenito nećete vidjeti nikakve probleme s ovim stanjem, jer nijedan ISP ovih dana zapravo ne zahtijeva RPKI.

Ova stanja mogu uzrokovati da vaš IP prostor bude nedostupan raznim dijelovima interneta i treba ih ispraviti. Naime, možda nećete moći doći do Cloudflarea s IP prostora s nevažećim RPKI potpisima. Također, mnogi ISP-ovi u Africi obvezali su se omogućiti RPKI 2019-04-01, što znači da nevažeći prefiksi tamo neće biti dostupni. AT&T je prestao prihvaćati RPKI nevažeće objave od 11.02.2019.

Postoji nekoliko različitih vrsta nevažećih potpisa:

• Invalid ASN: Za ovaj prefiks postoji barem jedan ROA, no nijedan od ASN-ova ne odgovara onome za što je konfiguriran vaš račun. Ako koristite privatni ASN, vaš ROA bi trebao navesti naš ASN ( 20473).
• Invalid Prefix Length: Pronašli smo ROA koji odgovara ovom prefiksu/ASN-u, no najveća dopuštena duljina prefiksa nije točna. To općenito znači da biste trebali izdati novi ROA s maksimalnom duljinom prefiksa postavljenom na 24IPv4 ili 48za IPv6. Također možete izdati novi ROA za manji prefiks.

RPKI se može postaviti putem vašeg RIR-a (RIPE, ARIN, APNIC i tako dalje). Samo vlasnik IP prostora može upravljati RPKI ROA-ovima. Ako iznajmljujete IP prostor, trebali biste kontaktirati tvrtku od koje iznajmljujete za pomoć pri konfiguriranju RPKI-ja.

Za više informacija pogledajte sljedeću dokumentaciju:

• https://www.arin.net/resources/rpki/index.html
• https://www.apnic.net/get-ip/faqs/rpki/
• https://www.ripe.net/manage-ips-and-asns/resource-management/certification
• https://blog.cloudflare.com/rpki/
• https://nlnetlabs.nl/projects/rpki/faq/
• https://afnog.org/pipermail/afnog/2018-November/003532.html