RPKI e ROA: Protegendo suas Rotas IPv4
Tudo o que você precisa saber sobre Infraestrutura de Chave Pública de Recursos (RPKI) e Autorização de Origem de Rota (ROA) — dos conceitos à implementação prática.
O que é RPKI?
A Infraestrutura de Chave Pública de Recursos (RPKI) é um framework criptográfico projetado para proteger a infraestrutura de roteamento da Internet. Ela fornece uma maneira de verificar que o detentor de um bloco de endereços IP autorizou um Sistema Autônomo (AS) específico a originar rotas para aquele prefixo.
Sem RPKI, o BGP — o protocolo que roteia o tráfego pela Internet — opera em grande parte com base na confiança. Qualquer AS pode anunciar qualquer prefixo IP, potencialmente redirecionando tráfego através de redes não autorizadas. O RPKI adiciona uma camada de verificação criptográfica para prevenir tais sequestros.
O RPKI foi desenvolvido pelo IETF e é gerenciado pelos cinco Registros Regionais de Internet (RIR): RIPE NCC, ARIN, APNIC, LACNIC e AFRINIC. Cada RIR opera como uma Autoridade Certificadora (CA) dentro do framework RPKI.
O que é ROA?
Uma Autorização de Origem de Rota (ROA) é um objeto assinado digitalmente dentro do framework RPKI. Ela especifica qual número AS está autorizado a anunciar um determinado prefixo IP e o comprimento máximo do prefixo que pode ser anunciado.
Por exemplo, um ROA pode declarar: "AS64500 está autorizado a anunciar 192.0.2.0/24 com um comprimento máximo de /24." Isso significa que apenas AS64500 pode legitimamente originar esse prefixo, e ele não pode ser anunciado como prefixos mais específicos como /25.
Os ROAs são criados pelo detentor do endereço IP através do portal do seu RIR e são armazenados no repositório RPKI do RIR. Os operadores de rede então usam validadores RPKI para verificar os anúncios BGP recebidos contra os ROAs publicados.
Como o RPKI Funciona
O RPKI opera através de uma cadeia de confiança ancorada nos RIR. Quando você recebe uma alocação ou transferência de endereços IP, o RIR emite um certificado de recursos vinculando sua organização a esses recursos IP. Você pode então criar objetos ROA sob este certificado.
Os operadores de rede executam validadores RPKI (como Routinator, FORT ou rpki-client) que baixam e verificam todos os ROAs dos repositórios dos RIR. Esses validadores alimentam os resultados de validação para os roteadores via protocolo RPKI-to-Router (RTR).
Quando um anúncio de rota BGP chega, o roteador o verifica contra os dados de validação RPKI. As rotas são classificadas como Valid (corresponde a um ROA), Invalid (conflita com um ROA) ou NotFound (nenhum ROA existe). Os operadores podem então configurar políticas — comumente aceitando rotas Valid, rejeitando Invalid e permitindo rotas NotFound.
Valid
O anúncio BGP corresponde a um ROA publicado — AS e comprimento de prefixo corretos. A rota é aceita.
Invalid
O anúncio conflita com um ROA — AS incorreto ou excede o comprimento máximo do prefixo. A rota deve ser rejeitada.
NotFound
Nenhum ROA existe para este prefixo. A rota é aceita por padrão, mas carece de verificação criptográfica.
Unknown
O validador não consegue determinar o status, tipicamente devido a problemas de conectividade com os repositórios RPKI.
Criação de Registros ROA
Criar registros ROA é simples e pode ser feito através do portal de membros do seu RIR. O processo varia ligeiramente entre os RIR, mas segue os mesmos passos gerais.
Para o RIPE NCC, faça login no Portal LIR, navegue até a seção "RPKI", selecione o prefixo que deseja proteger, especifique o número AS autorizado e o comprimento máximo do prefixo, e publique o ROA. O RIPE também oferece um recurso "RPKI com um clique" que cria automaticamente ROAs baseados em objetos de rota existentes.
Para o ARIN, use o portal ARIN Online para acessar a seção RPKI. Você pode criar ROAs para seus recursos e gerenciar seus certificados RPKI. O ARIN oferece opções de RPKI hospedado e delegado.
Para o APNIC, o portal MyAPNIC inclui ferramentas de gerenciamento RPKI. Você pode criar ROAs para seus recursos IP e monitorar o status deles através do painel.
RIPE NCC
Portal LIR → RPKI → Criar ROA. Suporta criação de ROA com um clique a partir de objetos de rota existentes. Publicação instantânea.
ARIN
ARIN Online → RPKI → Criar ROA. Oferece RPKI hospedado e delegado. Publicação em minutos.
APNIC
MyAPNIC → RPKI → Criar ROA. Painel integrado para monitorar o status e cobertura dos ROA.
LACNIC / AFRINIC
Criação de ROA similar baseada em portal. Consulte a documentação do respectivo RIR para passos e recursos específicos.
Validação RPKI
A validação RPKI é realizada por software dedicado chamado validadores. Essas ferramentas baixam o conjunto completo de dados RPKI de todos os cinco repositórios RIR, verificam as assinaturas criptográficas e constroem um cache validado de Autorizações de Origem de Rota.
Os validadores de código aberto populares incluem Routinator (da NLnet Labs), FORT Validator, rpki-client (do OpenBSD) e OctoRPKI (da Cloudflare). Esses validadores servem dados validados para os roteadores via protocolo RTR.
Os principais operadores de rede e provedores de nuvem — incluindo Cloudflare, Google, Amazon AWS e Microsoft Azure — implementaram a validação RPKI e rejeitam rotas Invalid. À medida que a adoção cresce, ter registros ROA adequados torna-se cada vez mais importante para garantir que seus prefixos sejam alcançáveis globalmente.
Por Que o RPKI Importa nas Transferências IPv4
Quando você compra ou aluga endereços IPv4, configurar RPKI e registros ROA é uma das primeiras coisas que deve fazer. Sem registros ROA, seus prefixos recém-adquiridos carecem de validação criptográfica de origem, tornando-os mais suscetíveis a sequestro acidental ou intencional.
Além disso, à medida que mais redes adotam a filtragem de rotas baseada em RPKI, prefixos sem registros ROA válidos podem experimentar alcançabilidade reduzida. Algumas redes já preferem ou exigem rotas RPKI-válidas, e essa tendência está se acelerando.
Na IPv4Center.com, auxiliamos nossos clientes com a configuração RPKI após cada transferência IPv4. Seja comprando ou alugando espaço IPv4, nossa equipe ajuda a criar os registros ROA apropriados e verificar que seus prefixos estão adequadamente protegidos.
Proteção de Rotas
Os registros ROA impedem que partes não autorizadas sequestrem seus prefixos IPv4 via BGP, protegendo seu tráfego e reputação.
Alcançabilidade Global
À medida que a adoção do RPKI cresce, registros ROA válidos garantem que seus prefixos permaneçam alcançáveis em todas as principais redes mundiais.
Conformidade
Muitos clientes empresariais e redes governamentais exigem rotas RPKI-válidas. Os registros ROA ajudam a atender esses requisitos de conformidade.
Prontidão para Transferência
Após uma transferência IPv4, criar registros ROA é essencial antes de anunciar o prefixo. A IPv4Center.com ajuda nesse processo.
Perguntas Frequentes
Perguntas comuns sobre RPKI e ROA para detentores de endereços IPv4.
Sem registros ROA, seu prefixo tem o status RPKI "NotFound". Embora a maioria das redes ainda aceite rotas NotFound, seu prefixo não está protegido contra sequestro BGP. À medida que a adoção do RPKI aumenta, algumas redes podem despriorizar ou filtrar rotas NotFound.
Os registros ROA normalmente se propagam dentro de 15 a 30 minutos após a criação. Os validadores RPKI atualizam seus caches periodicamente (geralmente a cada 10 a 20 minutos), então a visibilidade global é alcançada rapidamente.
Isso depende do acordo de aluguel. Na maioria dos casos, o detentor do IP (locador) cria o ROA em seu nome, autorizando seu número AS. Na IPv4Center.com, gerenciamos a criação de ROA para todos os prefixos alugados como parte do nosso serviço.
O RPKI protege o roteamento BGP validando qual AS pode originar um prefixo IP. O DNSSEC protege o DNS garantindo que as respostas DNS não foram adulteradas. Eles protegem diferentes camadas da infraestrutura da Internet, mas ambos usam assinaturas criptográficas.
O RPKI com ROA previne o sequestro de origem (AS não autorizado anunciando seu prefixo). No entanto, não previne ataques de manipulação de caminho. BGPsec, uma extensão do RPKI, trata da segurança de caminho, mas tem implantação limitada.
O RPKI não é obrigatório por nenhum RIR, mas sua adoção é fortemente incentivada. Grandes redes como Cloudflare, Google e AWS já rejeitam rotas RPKI-inválidas. A indústria está caminhando para uma implantação universal do RPKI para uma Internet mais segura.