RPKI e ROA: Proteggere le tue Rotte IPv4
Tutto quello che devi sapere sulla Resource Public Key Infrastructure (RPKI) e Route Origin Authorization (ROA) — dai concetti all'implementazione pratica.
Cos'è RPKI?
La Resource Public Key Infrastructure (RPKI) è un framework crittografico progettato per proteggere l'infrastruttura di routing di Internet. Fornisce un modo per verificare che il detentore di un blocco di indirizzi IP abbia autorizzato un Sistema Autonomo (AS) specifico a originare rotte per quel prefisso.
Senza RPKI, BGP — il protocollo che instrada il traffico attraverso Internet — opera in gran parte sulla fiducia. Qualsiasi AS può annunciare qualsiasi prefisso IP, reindirizzando potenzialmente il traffico attraverso reti non autorizzate. RPKI aggiunge uno strato di verifica crittografica per prevenire tali dirottamenti.
RPKI è stato sviluppato dall'IETF ed è gestito dai cinque Registri Internet Regionali (RIR): RIPE NCC, ARIN, APNIC, LACNIC e AFRINIC. Ogni RIR opera come Autorità di Certificazione (CA) all'interno del framework RPKI.
Cos'è ROA?
Una Route Origin Authorization (ROA) è un oggetto firmato digitalmente all'interno del framework RPKI. Specifica quale numero AS è autorizzato ad annunciare un particolare prefisso IP e la lunghezza massima del prefisso che può essere annunciata.
Ad esempio, un ROA potrebbe dichiarare: "AS64500 è autorizzato ad annunciare 192.0.2.0/24 con una lunghezza massima di /24." Ciò significa che solo AS64500 può legittimamente originare questo prefisso, e non può essere annunciato come prefissi più specifici come /25.
I ROA vengono creati dal detentore dell'indirizzo IP attraverso il portale del proprio RIR e sono memorizzati nel repository RPKI del RIR. Gli operatori di rete utilizzano poi validatori RPKI per verificare gli annunci BGP in arrivo rispetto ai ROA pubblicati.
Come Funziona RPKI
RPKI opera attraverso una catena di fiducia ancorata ai RIR. Quando si riceve un'allocazione o un trasferimento di indirizzi IP, il RIR emette un certificato di risorse che collega la tua organizzazione a quelle risorse IP. Puoi quindi creare oggetti ROA sotto questo certificato.
Gli operatori di rete eseguono validatori RPKI (come Routinator, FORT o rpki-client) che scaricano e verificano tutti i ROA dai repository dei RIR. Questi validatori forniscono i risultati della validazione ai router tramite il protocollo RPKI-to-Router (RTR).
Quando arriva un annuncio di rotta BGP, il router lo verifica rispetto ai dati di validazione RPKI. Le rotte vengono classificate come Valid (corrispondente a un ROA), Invalid (in conflitto con un ROA) o NotFound (nessun ROA esiste). Gli operatori possono quindi configurare politiche — comunemente accettando le rotte Valid, rifiutando le Invalid e consentendo le rotte NotFound.
Valid
L'annuncio BGP corrisponde a un ROA pubblicato — AS e lunghezza del prefisso corretti. La rotta viene accettata.
Invalid
L'annuncio è in conflitto con un ROA — AS errato o supera la lunghezza massima del prefisso. La rotta dovrebbe essere rifiutata.
NotFound
Non esiste alcun ROA per questo prefisso. La rotta viene accettata per impostazione predefinita ma manca di verifica crittografica.
Unknown
Il validatore non riesce a determinare lo stato, tipicamente a causa di problemi di connettività con i repository RPKI.
Creazione di Record ROA
Creare record ROA è semplice e può essere fatto tramite il portale membri del proprio RIR. Il processo varia leggermente tra i RIR ma segue gli stessi passaggi generali.
Per RIPE NCC, accedi al Portale LIR, naviga alla sezione "RPKI", seleziona il prefisso che desideri proteggere, specifica il numero AS autorizzato e la lunghezza massima del prefisso, e pubblica il ROA. RIPE offre anche una funzionalità "RPKI con un clic" che crea automaticamente i ROA basati sugli oggetti di rotta esistenti.
Per ARIN, usa il portale ARIN Online per accedere alla sezione RPKI. Puoi creare ROA per le tue risorse e gestire i tuoi certificati RPKI. ARIN offre opzioni RPKI sia ospitato che delegato.
Per APNIC, il portale MyAPNIC include strumenti di gestione RPKI. Puoi creare ROA per le tue risorse IP e monitorare il loro stato tramite la dashboard.
RIPE NCC
Portale LIR → RPKI → Crea ROA. Supporta la creazione ROA con un clic dagli oggetti di rotta esistenti. Pubblicazione istantanea.
ARIN
ARIN Online → RPKI → Crea ROA. Offre RPKI sia ospitato che delegato. Pubblicazione in pochi minuti.
APNIC
MyAPNIC → RPKI → Crea ROA. Dashboard integrata per monitorare lo stato e la copertura dei ROA.
LACNIC / AFRINIC
Creazione ROA simile basata su portale. Consultare la documentazione del rispettivo RIR per passaggi e funzionalità specifiche.
Validazione RPKI
La validazione RPKI viene eseguita da software dedicato chiamato validatori. Questi strumenti scaricano l'insieme completo dei dati RPKI da tutti e cinque i repository RIR, verificano le firme crittografiche e costruiscono una cache validata di Route Origin Authorization.
I validatori open source popolari includono Routinator (di NLnet Labs), FORT Validator, rpki-client (di OpenBSD) e OctoRPKI (di Cloudflare). Questi validatori forniscono dati validati ai router tramite il protocollo RTR.
I principali operatori di rete e fornitori cloud — tra cui Cloudflare, Google, Amazon AWS e Microsoft Azure — hanno implementato la validazione RPKI e rifiutano le rotte Invalid. Man mano che l'adozione cresce, avere record ROA corretti diventa sempre più importante per garantire che i tuoi prefissi siano raggiungibili a livello globale.
Perché RPKI è Importante per i Trasferimenti IPv4
Quando acquisti o noleggi indirizzi IPv4, configurare RPKI e record ROA è una delle prime cose da fare. Senza record ROA, i tuoi prefissi appena acquisiti mancano di validazione crittografica dell'origine, rendendoli più suscettibili al dirottamento accidentale o intenzionale.
Inoltre, man mano che più reti adottano il filtraggio delle rotte basato su RPKI, i prefissi senza record ROA validi possono sperimentare una raggiungibilità ridotta. Alcune reti già preferiscono o richiedono rotte RPKI-valide, e questa tendenza sta accelerando.
In IPv4Center.com, assistiamo i nostri clienti con la configurazione RPKI dopo ogni trasferimento IPv4. Che tu stia acquistando o noleggiando spazio IPv4, il nostro team ti aiuta a creare i record ROA appropriati e a verificare che i tuoi prefissi siano adeguatamente protetti.
Protezione delle Rotte
I record ROA impediscono a parti non autorizzate di dirottare i tuoi prefissi IPv4 tramite BGP, proteggendo il tuo traffico e la tua reputazione.
Raggiungibilità Globale
Man mano che l'adozione di RPKI cresce, i record ROA validi assicurano che i tuoi prefissi rimangano raggiungibili su tutte le principali reti mondiali.
Conformità
Molti clienti enterprise e reti governative richiedono rotte RPKI-valide. I record ROA aiutano a soddisfare questi requisiti di conformità.
Preparazione al Trasferimento
Dopo un trasferimento IPv4, la creazione di record ROA è essenziale prima di annunciare il prefisso. IPv4Center.com aiuta in questo processo.
Domande Frequenti
Domande comuni su RPKI e ROA per i titolari di indirizzi IPv4.
Senza record ROA, il tuo prefisso ha uno stato RPKI "NotFound". Sebbene la maggior parte delle reti accetti ancora le rotte NotFound, il tuo prefisso non è protetto dal dirottamento BGP. Man mano che l'adozione di RPKI aumenta, alcune reti potrebbero deprioritizzare o filtrare le rotte NotFound.
I record ROA si propagano tipicamente entro 15-30 minuti dalla creazione. I validatori RPKI aggiornano le loro cache periodicamente (di solito ogni 10-20 minuti), quindi la visibilità globale viene raggiunta rapidamente.
Questo dipende dall'accordo di leasing. Nella maggior parte dei casi, il titolare dell'IP (locatore) crea il ROA per tuo conto, autorizzando il tuo numero AS. In IPv4Center.com, gestiamo la creazione di ROA per tutti i prefissi in leasing come parte del nostro servizio.
RPKI protegge il routing BGP validando quale AS può originare un prefisso IP. DNSSEC protegge il DNS assicurando che le risposte DNS non siano state manomesse. Proteggono diversi livelli dell'infrastruttura Internet ma entrambi utilizzano firme crittografiche.
RPKI con ROA previene il dirottamento di origine (AS non autorizzato che annuncia il tuo prefisso). Tuttavia, non previene gli attacchi di manipolazione del percorso. BGPsec, un'estensione di RPKI, affronta la sicurezza del percorso ma ha una diffusione limitata.
RPKI non è obbligatorio per nessun RIR, ma la sua adozione è fortemente incoraggiata. Grandi reti come Cloudflare, Google e AWS rifiutano già le rotte RPKI-invalide. L'industria si sta muovendo verso una distribuzione universale di RPKI per un Internet più sicuro.