RPKI

Az RPKI (Resource Public Key Infrastructure) egy módszer a BGP-eltérítés megelőzésére. Titkosító aláírásokat használ annak ellenőrzésére, hogy az ASN jogosult-e egy adott alhálózat bejelentésére.

A ROA-k (Route Origination Authorizations) az RPKI kulcsfontosságú összetevői. A ROA csak néhány elemet tartalmaz: ASN, alhálózat és maximális hossz. A ROA-t ezután kriptográfiailag aláírják, és nyilvánosan közzéteszik. Ezután bármelyik útválasztó használhatja a ROA-t annak ellenőrzésére, hogy egy adott bejelentést az IP-terület tulajdonosa engedélyez-e.

{
    "asn" : "AS64496",
    "prefix" : "192.0.2.0/24",
    "maxLength" : 29,
    "ta" : "ARIN"
}

Ez kimondja, hogy ASAS64496jogosult a bejelentésre 192.0.2.0/24és minden kisebb alhálózatra egészen /29s-ig.

Ezzel szemben a következők csak pontosAS64496 bemondást tennének lehetővé . Ebből a tartományból kisebb alhálózatok nem engedélyezettek.192.0.2.0/24

{
    "asn" : "AS64496",
    "prefix" : "192.0.2.0/24",
    "maxLength" : 24,
    "ta" : "ARIN"
}

A RIPE nyilvános szolgáltatást kínál, ahol megtekintheti az egyes ROA-kat .

A Vultr minden egyes ügyfél-alhálózat RPKI állapotát éjszakánként ellenőrzi. Az állapotot itt tekintheti meg . Néhány különböző állapot látható itt:

• Valid: Sikerült ellenőriznünk, hogy létezik-e ROA az ASN/előtag párhoz. Ezt az állapotot szeretné elérni.
• Unknown: A megadott előtaghoz nem létezik ROA. Ez az, amit a tér túlnyomó többségénél látni fog. Ezzel az állapottal általában nem fog problémát látni, mivel manapság egyetlen internetszolgáltató sem kér igazán RPKI-t.

Ezek az állapotok azt eredményezhetik, hogy az Ön IP-területe nem érhető el az internet különböző részei számára, ezért ki kell javítani. Nevezetesen, előfordulhat, hogy érvénytelen RPKI-aláírásokkal nem tudja elérni a Cloudflare-t IP-területről. Ezenkívül sok afrikai internetszolgáltató elkötelezte magát az RPKI engedélyezése mellett 2019-04-01-én, ami azt jelenti, hogy az érvénytelen előtagok nem lesznek elérhetők ott. 2019-02-11-től az AT&T leállította az RPKI érvénytelen bejelentéseinek elfogadását.

Az érvénytelen aláírások többféle típusa létezik:

• Invalid ASN: Ehhez az előtaghoz legalább egy ROA létezik, azonban egyik ASN sem egyezik azzal, amihez fiókja be van állítva. Ha privát ASN-t használ, a ROA-nak fel kell tüntetnie az ASN-t ( 20473).
• Invalid Prefix Length: Találtunk egy ROA-t, amely megfelel ennek az előtagnak/ASN-nek, azonban a maximális megengedett előtaghossz nem megfelelő. Ez általában azt jelenti, hogy új ROA-t kell kiadnia, amelynek maximális előtaghossza 24IPv4-hez vagy 48IPv6- hoz van beállítva . Új ROA-t is kiadhat a kisebb előtaghoz.

Az RPKI a RIR-en keresztül állítható be (RIPE, ARIN, APNIC és így tovább). Csak az IP-terület tulajdonosa kezelheti az RPKI ROA-kat. Ha IP-területet bérel, fel kell vennie a kapcsolatot azzal a céggel, amelytől bérel, az RPKI beállításához.

További információkért tekintse meg az alábbi dokumentációt:

• https://www.arin.net/resources/rpki/index.html
• https://www.apnic.net/get-ip/faqs/rpki/
• https://www.ripe.net/manage-ips-and-asns/resource-management/certification
• https://blog.cloudflare.com/rpki/
• https://nlnetlabs.nl/projects/rpki/faq/
• https://afnog.org/pipermail/afnog/2018-November/003532.html