RPKI et ROA : Sécuriser vos Routes IPv4
Tout ce que vous devez savoir sur l'Infrastructure à Clé Publique de Ressources (RPKI) et l'Autorisation d'Origine de Route (ROA) — des concepts à la mise en œuvre pratique.
Qu'est-ce que RPKI ?
L'Infrastructure à Clé Publique de Ressources (RPKI) est un cadre cryptographique conçu pour sécuriser l'infrastructure de routage d'Internet. Elle fournit un moyen de vérifier que le détenteur d'un bloc d'adresses IP a autorisé un Système Autonome (AS) spécifique à annoncer des routes pour ce préfixe.
Sans RPKI, BGP — le protocole qui achemine le trafic à travers Internet — fonctionne essentiellement sur la confiance. N'importe quel AS peut annoncer n'importe quel préfixe IP, redirigeant potentiellement le trafic à travers des réseaux non autorisés. RPKI ajoute une couche de vérification cryptographique pour empêcher de tels détournements.
RPKI a été développé par l'IETF et est géré par les cinq Registres Internet Régionaux (RIR) : RIPE NCC, ARIN, APNIC, LACNIC et AFRINIC. Chaque RIR fonctionne comme une Autorité de Certification (CA) au sein du cadre RPKI.
Qu'est-ce que ROA ?
Une Autorisation d'Origine de Route (ROA) est un objet signé numériquement au sein du cadre RPKI. Il spécifie quel numéro AS est autorisé à annoncer un préfixe IP particulier et la longueur maximale du préfixe pouvant être annoncé.
Par exemple, un ROA pourrait stipuler : « AS64500 est autorisé à annoncer 192.0.2.0/24 avec une longueur maximale de /24. » Cela signifie que seul AS64500 peut légitimement annoncer ce préfixe, et qu'il ne peut pas être annoncé en préfixes plus spécifiques comme /25.
Les ROAs sont créés par le détenteur de l'adresse IP via le portail de son RIR et sont stockés dans le référentiel RPKI du RIR. Les opérateurs réseau utilisent ensuite des validateurs RPKI pour vérifier les annonces BGP entrantes par rapport aux ROAs publiés.
Comment Fonctionne RPKI
RPKI fonctionne par une chaîne de confiance ancrée aux RIR. Lorsque vous recevez une allocation ou un transfert d'adresses IP, le RIR émet un certificat de ressources liant votre organisation à ces ressources IP. Vous pouvez ensuite créer des objets ROA sous ce certificat.
Les opérateurs réseau exécutent des validateurs RPKI (comme Routinator, FORT ou rpki-client) qui téléchargent et vérifient tous les ROAs depuis les référentiels des RIR. Ces validateurs transmettent les résultats de validation aux routeurs via le protocole RPKI-to-Router (RTR).
Lorsqu'une annonce de route BGP arrive, le routeur la vérifie par rapport aux données de validation RPKI. Les routes sont classées comme Valid (correspondant à un ROA), Invalid (en conflit avec un ROA) ou NotFound (aucun ROA n'existe). Les opérateurs peuvent alors configurer des politiques — généralement accepter les routes Valid, rejeter les Invalid et autoriser les routes NotFound.
Valid
L'annonce BGP correspond à un ROA publié — AS et longueur de préfixe corrects. La route est acceptée.
Invalid
L'annonce est en conflit avec un ROA — mauvais AS ou dépassement de la longueur maximale du préfixe. La route doit être rejetée.
NotFound
Aucun ROA n'existe pour ce préfixe. La route est acceptée par défaut mais manque de vérification cryptographique.
Unknown
Le validateur ne peut pas déterminer le statut, généralement en raison de problèmes de connectivité avec les référentiels RPKI.
Création d'Enregistrements ROA
Créer des enregistrements ROA est simple et peut être fait via le portail membres de votre RIR. Le processus varie légèrement entre les RIR mais suit les mêmes étapes générales.
Pour RIPE NCC, connectez-vous au Portail LIR, naviguez vers la section « RPKI », sélectionnez le préfixe que vous souhaitez protéger, spécifiez le numéro AS autorisé et la longueur maximale du préfixe, et publiez le ROA. RIPE propose également une fonctionnalité « RPKI en un clic » qui crée automatiquement des ROAs basés sur les objets de route existants.
Pour ARIN, utilisez le portail ARIN Online pour accéder à la section RPKI. Vous pouvez créer des ROAs pour vos ressources et gérer vos certificats RPKI. ARIN propose des options RPKI hébergé et délégué.
Pour APNIC, le portail MyAPNIC inclut des outils de gestion RPKI. Vous pouvez créer des ROAs pour vos ressources IP et surveiller leur statut via le tableau de bord.
RIPE NCC
Portail LIR → RPKI → Créer ROA. Supporte la création de ROA en un clic à partir d'objets de route existants. Publication instantanée.
ARIN
ARIN Online → RPKI → Créer ROA. Propose du RPKI hébergé et délégué. Publication en quelques minutes.
APNIC
MyAPNIC → RPKI → Créer ROA. Tableau de bord intégré pour surveiller le statut et la couverture des ROA.
LACNIC / AFRINIC
Création de ROA similaire basée sur portail. Consultez la documentation du RIR respectif pour les étapes et fonctionnalités spécifiques.
Validation RPKI
La validation RPKI est effectuée par un logiciel dédié appelé validateurs. Ces outils téléchargent l'ensemble complet des données RPKI depuis les cinq référentiels RIR, vérifient les signatures cryptographiques et construisent un cache validé d'Autorisations d'Origine de Route.
Les validateurs open source populaires incluent Routinator (par NLnet Labs), FORT Validator, rpki-client (par OpenBSD) et OctoRPKI (par Cloudflare). Ces validateurs fournissent des données validées aux routeurs via le protocole RTR.
Les principaux opérateurs réseau et fournisseurs cloud — dont Cloudflare, Google, Amazon AWS et Microsoft Azure — ont déployé la validation RPKI et rejettent les routes Invalid. À mesure que l'adoption progresse, avoir des enregistrements ROA corrects devient de plus en plus important pour assurer l'accessibilité mondiale de vos préfixes.
Pourquoi RPKI Compte pour les Transferts IPv4
Lorsque vous achetez ou louez des adresses IPv4, la mise en place de RPKI et d'enregistrements ROA devrait être l'une de vos premières actions. Sans enregistrements ROA, vos préfixes nouvellement acquis manquent de validation cryptographique d'origine, les rendant plus vulnérables au détournement accidentel ou intentionnel.
De plus, à mesure que davantage de réseaux adoptent le filtrage de routes basé sur RPKI, les préfixes sans enregistrements ROA valides peuvent connaître une accessibilité réduite. Certains réseaux préfèrent déjà ou exigent des routes RPKI-valides, et cette tendance s'accélère.
Chez IPv4Center.com, nous accompagnons nos clients dans la mise en place de RPKI après chaque transfert IPv4. Que vous achetiez ou louiez de l'espace IPv4, notre équipe vous aide à créer les enregistrements ROA appropriés et à vérifier que vos préfixes sont correctement protégés.
Protection des Routes
Les enregistrements ROA empêchent les parties non autorisées de détourner vos préfixes IPv4 via BGP, protégeant votre trafic et votre réputation.
Accessibilité Mondiale
À mesure que l'adoption de RPKI progresse, les enregistrements ROA valides assurent que vos préfixes restent accessibles sur tous les grands réseaux mondiaux.
Conformité
De nombreux clients entreprise et réseaux gouvernementaux exigent des routes RPKI-valides. Les enregistrements ROA aident à répondre à ces exigences de conformité.
Préparation au Transfert
Après un transfert IPv4, la création d'enregistrements ROA est essentielle avant d'annoncer le préfixe. IPv4Center.com accompagne ce processus.
Questions Fréquemment Posées
Questions courantes sur RPKI et ROA pour les détenteurs d'adresses IPv4.
Sans enregistrements ROA, votre préfixe a un statut RPKI « NotFound ». Bien que la plupart des réseaux acceptent encore les routes NotFound, votre préfixe n'est pas protégé contre le détournement BGP. À mesure que l'adoption de RPKI augmente, certains réseaux peuvent déprioriser ou filtrer les routes NotFound.
Les enregistrements ROA se propagent généralement dans les 15 à 30 minutes suivant leur création. Les validateurs RPKI actualisent leurs caches périodiquement (généralement toutes les 10 à 20 minutes), la visibilité mondiale est donc atteinte rapidement.
Cela dépend de l'accord de location. Dans la plupart des cas, le détenteur de l'IP (bailleur) crée le ROA en votre nom, autorisant votre numéro AS. Chez IPv4Center.com, nous gérons la création de ROA pour tous les préfixes loués dans le cadre de notre service.
RPKI sécurise le routage BGP en validant quel AS peut annoncer un préfixe IP. DNSSEC sécurise le DNS en garantissant que les réponses DNS n'ont pas été falsifiées. Ils protègent différentes couches de l'infrastructure Internet mais utilisent tous deux des signatures cryptographiques.
RPKI avec ROA empêche le détournement d'origine (un AS non autorisé annonçant votre préfixe). Cependant, il ne prévient pas les attaques de manipulation de chemin. BGPsec, une extension de RPKI, traite la sécurité des chemins mais son déploiement est limité.
RPKI n'est obligatoire auprès d'aucun RIR, mais son adoption est fortement encouragée. Les grands réseaux comme Cloudflare, Google et AWS rejettent déjà les routes RPKI-invalides. L'industrie évolue vers un déploiement universel de RPKI pour un Internet plus sûr.