RPKI

RPKI (Інфраструктура відкритих ключів ресурсів) — це спосіб запобігти викраденню BGP. Він використовує криптографічні підписи для підтвердження того, що ASN дозволено оголошувати певну підмережу.

ROA (Route Origination Authorizations) є ключовими компонентами RPKI. ROA містить лише кілька елементів: ASN, підмережу та максимальну довжину. Потім ROA підписується криптографічно і публікується публічно. Будь-який маршрутизатор може використовувати ROA, щоб перевірити, що конкретне оголошення авторизовано власником простору IP.

{
    "asn" : "AS64496",
    "prefix" : "192.0.2.0/24",
    "maxLength" : 29,
    "ta" : "ARIN"
}

Це вказує, що ASAS64496має право оголошувати 192.0.2.0/24будь-які менші підмережі аж до /29s.

На відміну від цього, наступне дозволить лише AS64496оголосити 192.0.2.0/24 точно . Менші підмережі з цього діапазону не будуть дозволені.

{
    "asn" : "AS64496",
    "prefix" : "192.0.2.0/24",
    "maxLength" : 24,
    "ta" : "ARIN"
}

RIPE пропонує державну послугу, де ви можете шукати індивідуальні ROA .

Vultr щовечора перевіряє статус RPKI кожної підмережі клієнта. Переглянути статус можна тут . Тут ви побачите кілька різних станів:

• Valid: Ми змогли перевірити, чи існує ROA для пари ASN/префікс. Це той стан, який ви хочете мати.
• Unknown: ROA не існує для даного префікса. Це те, що ви побачите для переважної більшості простору. Загалом ви не побачите жодних проблем із цим станом, оскільки сьогодні жоден провайдер не вимагає RPKI.

Ці стани можуть призвести до того, що ваш IP-простір стане недоступним для різних частин Інтернету, і їх слід виправити. Примітно, що ви не зможете зв’язатися з Cloudflare з IP-простору з недійсними підписами RPKI. Крім того, багато провайдерів Інтернету в Африці зобов’язалися ввімкнути RPKI 01.04.2019, що означає, що недійсні префікси там не будуть доступні. AT&T припинив приймати недійсні оголошення RPKI з 11.02.2019.

Існує кілька різних типів недійсних підписів:

• Invalid ASN: для цього префікса існує принаймні один ROA, однак жодна з ASN не відповідає тому, для чого налаштовано ваш обліковий запис. Якщо ви використовуєте приватний ASN, ваші ROA повинні вказати наш ASN ( 20473).
• Invalid Prefix Length: Ми знайшли ROA, що відповідає цьому префіксу/ASN, однак максимальна дозволена довжина префікса неправильна. Зазвичай це означає, що вам потрібно буде видати новий ROA з максимальною довжиною префікса, встановленою на 24IPv4 або 48для IPv6. Ви також можете надати новий ROA для меншого префікса.

RPKI можна налаштувати через ваш RIR (RIPE, ARIN, APNIC тощо). Лише власник IP-простору може керувати ROA RPKI. Якщо ви орендуєте IP-простор, вам потрібно буде зв’язатися з компанією, у якої ви орендуєте, за допомогою щодо налаштування RPKI.

Для отримання додаткової інформації див. наступну документацію:

• https://www.arin.net/resources/rpki/index.html
• https://www.apnic.net/get-ip/faqs/rpki/
• https://www.ripe.net/manage-ips-and-asns/resource-management/certification
• https://blog.cloudflare.com/rpki/
• https://nlnetlabs.nl/projects/rpki/faq/
• https://afnog.org/pipermail/afnog/2018-November/003532.html