RPKI

RPKI (Resource Public Key Infrastructure) er en måte å bidra til å forhindre BGP-kapring. Den bruker kryptografiske signaturer for å validere at et ASN har lov til å annonsere et bestemt subnett.

ROA-er (Route Origination Authorizations) er nøkkelkomponentene i RPKI. ROA-er inneholder bare noen få elementer: ASN, subnett og maksimal lengde. ROA-en signeres deretter kryptografisk og publiseres offentlig. Enhver ruter kan deretter bruke ROA for å bekrefte at en bestemt kunngjøring er autorisert av eieren av IP-plassen.

{
    "asn" : "AS64496",
    "prefix" : "192.0.2.0/24",
    "maxLength" : 29,
    "ta" : "ARIN"
}

Dette sier at ASAS64496er autorisert til å annonsere 192.0.2.0/24og eventuelle mindre subnett ned til /29s.

I motsetning til dette vil det følgende bare tillate AS64496å kunngjøre 192.0.2.0/24 nøyaktig . Mindre undernett fra dette området er ikke tillatt.

{
    "asn" : "AS64496",
    "prefix" : "192.0.2.0/24",
    "maxLength" : 24,
    "ta" : "ARIN"
}

RIPE tilbyr en offentlig tjeneste hvor du kan slå opp individuelle ROA-er .

Vultr sjekker RPKI-statusen til hvert kundeundernett hver natt. Du kan se status her . Det er noen forskjellige stater du vil se her:

• Valid: Vi var i stand til å bekrefte at det eksisterer en ROA for ASN/prefiks-paret. Dette er staten du vil ha.
• Unknown: Det finnes ingen ROA for det gitte prefikset. Dette er hva du vil se for det store flertallet av plassen. Du vil generelt ikke se noen problemer med denne tilstanden, siden ingen Internett-leverandører egentlig krever RPKI i disse dager.

Disse tilstandene kan føre til at IP-plassen din er utilgjengelig for ulike deler av internett, og bør korrigeres. Spesielt kan det hende du ikke kan nå Cloudflare fra IP-plass med ugyldige RPKI-signaturer. Mange Internett-leverandører i Afrika har også forpliktet seg til å aktivere RPKI 2019-04-01, noe som betyr at ugyldige prefikser ikke vil være tilgjengelige der. AT&T har sluttet å akseptere ugyldige RPKI-kunngjøringer fra og med 2019-02-11.

Det finnes noen forskjellige typer ugyldige signaturer:

• Invalid ASN: Det finnes minst én ROA for dette prefikset, men ingen av ASN-ene samsvarer med det kontoen din er konfigurert for. Hvis du bruker et privat ASN, bør ROA-ene dine vise vårt ASN ( 20473).
• Invalid Prefix Length: Vi fant en ROA som samsvarer med dette prefikset/ASN, men den maksimalt tillatte prefikslengden er ikke riktig. Dette betyr vanligvis at du må utstede en ny ROA med maks prefikslengde satt til 24for IPv4 eller 48for IPv6. Du kan også utstede en ny ROA for det mindre prefikset.

RPKI kan settes opp via din RIR (RIPE, ARIN, APNIC og s�� videre). Bare eieren av IP-plass kan administrere RPKI ROA-er. Hvis du leier IP-plass, må du kontakte selskapet du leier fra for å få hjelp med å konfigurere RPKI.

Se følgende dokumentasjon for mer informasjon:

• https://www.arin.net/resources/rpki/index.html
• https://www.apnic.net/get-ip/faqs/rpki/
• https://www.ripe.net/manage-ips-and-asns/resource-management/certification
• https://blog.cloudflare.com/rpki/
• https://nlnetlabs.nl/projects/rpki/faq/
• https://afnog.org/pipermail/afnog/2018-November/003532.html