Küresel internet, otonom sistemlerin (ASN) veri paketlerini en kısa yoldan ulaştırmak için Sınır Geçit Protokolü'nü (BGP) kullandığı devasa bir yönlendirme ekosistemidir. Ancak 1980'lerde tasarlanan BGP, doğası gereği "tam güven" esasına dayanır; bir router'ın duyurduğu IP bloklarının gerçekten ona ait olup olmadığını donanımsal olarak sorgulamaz.
Bu yapısal güven zafiyeti, trafiği manipüle etmek isteyen aktörler için en büyük açık kapılardan biridir. IPv4 bloklarınızı kriptografik kimlik doğrulamayla zırhlamadığınız sürece trafiğiniz her an yön değiştirebilir, çalınabilir veya karartılabilir. Bu makalede RPKI'nin yokluğunda ağınızın maruz kalacağı riskleri ve teknik çözüm adımlarını inceliyoruz. Temiz ve RPKI hazır havuzlar için IPv4 kiralama çözümlerimize göz atabilirsiniz.
RPKI ve ROA Nasıl Çalışır?
RPKI (Resource Public Key Infrastructure), IP adreslerinin ve ASN'lerin yasal sahipliğini ve hangi ASN üzerinden anons edilebileceğini kriptografik olarak imzalayan bir mimaridir. Bunun çıktısı ise ROA (Route Origin Authorization) belgesidir. Blok sahibi, RIR panelinden "X.X.X.X/24 bloğum yalnızca Y numaralı ASN tarafından duyurulabilir" taahhüdünü dijital olarak mühürler. İSS'ler ve CDN'ler bu kayıtları çekerek anonsları üç durumla filtreler:
- Valid (Geçerli): Anons ROA ile eşleşir; trafik güvenle akar.
- NotFound (Bulunamadı): ROA kaydı yok; sistem eski güven esasıyla taşır ancak manipülasyona açıktır.
- Invalid (Geçersiz): Blok, izinli ASN dışında bir sistemce anons edilmeye çalışılıyor; güvenli router'lar trafiği drop eder.
RPKI Olmadan Çalışmanın 3 Büyük Siber Riski
- BGP hijacking ve veri koklama: Bir saldırgan bloğunuzu daha spesifik bir alt ağ (örn. /24) olarak duyurursa, BGP "en spesifik rotayı" tercih ettiği için kullanıcı trafiği saldırgana akar; şifreler ve kart verileri MitM saldırısıyla kopyalanabilir.
- Trafik kaybı ve karartma (blackholing): IP'leriniz yanlış ASN'e yönlendiğinde paketler omurgada kaybolur; servisleriniz erişilemez hale gelir.
- Hedefli routing ve DDoS istismarı: Korsanlar korumasız blokları DDoS botnet'lerinde kaynak/hedef şaşırtma (IP spoofing) için kullanır; IP'leriniz firewall'larca kalıcı engellenebilir.
Karar Matrisi: RPKI Korumalı vs Korumasız
| Kriter | RPKI / ROA Olmadan | RPKI / ROA Korumalı |
|---|---|---|
| BGP Hijacking Direnci | Sıfır | %100 kriptografik koruma |
| İSS Filtreleme Davranışı | "NotFound" (ikinci öncelik) | "Valid" (en yüksek öncelik) |
| MitM / Veri Güvenliği | Çok yüksek risk | Çok düşük (orijin tescilli) |
| SLA / Regülasyon Uyumu | Modern standartlara aykırı | Operatör ve CDN'lerle tam uyum |
| Uptime / İtibar | Kesinti riski yüksek | Kesintisiz, maksimum güven |
RPKI Açıkları Nasıl Kapatılır?
- RIR nesne analizi: Tüm alt ağların RIR veritabanındaki mnt-routes ve inetnum nesneleri incelenir.
- Kriptografik ROA imzalama: RIR panelinden, IP'lerin çıkacağı yasal ASN ile eşleşen ROA kayıtları oluşturulur; min/max prefix uzunlukları hatasız girilir.
- Sürekli sabıka kontrolü: Doğrulamalar bittikten sonra bile IP kara liste kontrol sistemleriyle itibar skorları düzenli izlenir.
Sıkça Sorulan Sorular (SSS)
RPKI/ROA oluşturmak ücretli mi?
Hayır; RIR'lar (RIPE, ARIN vb.) üyelerine ve LIR hesaplarına bunu ücretsiz bir güvenlik standardı olarak sunar.
RPKI olmayan blok internette çalışır mı?
Evet, ama "NotFound" görüneceği için hijacking ve saldırılara açık kalır.
BGP hijacking nasıl anlaşılır?
Trafik hacminin ani düşüşü, ping artışı veya farklı ülkelerden erişim şikayetleri rota hırsızlığının belirtileridir.
ROA oluşturduktan sonra ne kadarda aktif olur?
Genellikle 1-4 saat içinde İSS router'larına senkronize olur.
Yanlış ROA trafiği tamamen keser mi?
Evet; belirtilen ASN ile anons ASN'i uyuşmazsa anons "Invalid" düşer ve İSS'ler trafiği drop eder.
Kiralık bloklarda RPKI'yi kim yapar?
Mülkiyet satıcıda olduğundan ana yetki satıcıdadır; satıcı, alıcının ASN'i için ROA kaydını alıcı adına tanımlar.
IPv4 monetization'da RPKI neden önemli?
RPKI hazır bloklar kiralama hızını ve değerini artırır; detay için IPv4 monetization rehberine bakın.
Cloudflare ve Google RPKI olmayan IP'lere nasıl davranır?
"Invalid" anonsları tamamen engeller; "NotFound" olanları tehdit anında öncelikli filtreler.
RPKI tek başına tüm güvenliği sağlar mı?
Hayır; sadece BGP seviyesini korur. Sunucu güvenliği, WAF ve şifreleme ayrıca yönetilmelidir.
Pazar yeri RPKI süreçlerinde nasıl rol oynar?
Akredite bir pazar yeri, blokların RPKI uyumunu denetler ve transferde eski kayıtların temizlenmesini garanti eder.
"Invalid" BGP anonsu ne demek?
Bloğun, yasal sahibi dışındaki sahte bir ASN tarafından anons edilmeye çalışıldığını gösterir.
Fiyat takibinde RPKI durumuna bakılmalı mı?
Evet; IPv4 fiyat takip incelenirken bloğun RPKI esnekliği de bir değer kriteridir.
Sponsoring LIR RPKI süreçlerini yönetir mi?
Evet; yetkilendirdiğiniz bir LIR sponsoru tüm imzalama ve ROA yönetimini üstlenir.
IPv6'da da RPKI kullanılır mı?
Evet; RPKI hem IPv4 hem IPv6 yönlendirme güvenliği için ortak bir standarttır.
Konum şirketleri RPKI verisine bakar mı?
Doğrudan konum için değil; ancak ASN stabilitesini doğrularken RPKI durumunu dolaylı süzebilirler.
IP spoofing nedir, RPKI nasıl engeller?
Sahte IP arkasına saklanarak DDoS yapmaktır; RPKI orijinleri sabitleyerek kaynak manipülasyonunu zorlaştırır.
Bir bloğun RPKI durumunu nasıl sorgularım?
RIPE Stat, ARIN WHOIS veya ağ araçlarıyla aktif ROA kaydı ve yetkili ASN görülebilir.
Şeffaf fiyatlandırma neden hayati?
Sürpriz RPKI operasyon ücretleriyle karşılaşmamak için net fiyatlandırma izleyen kurumlar tercih edilmelidir.
Router'da RPKI doğrulaması (ROV) nasıl aktif edilir?
Cisco, Juniper veya Nokia router'larına RPKI validator entegre edilerek BGP filtreleme devreye alınır.
RPKI kurmamanın en büyük ticari riski nedir?
Trafiğin korsan sunucuya akmasıyla yaşanacak veri hırsızlığı, yasal cezalar ve kalıcı itibar kaybıdır.
Ağ trafiğinizi kriptografik koruma altına alın: En yüksek yönlendirme önceliğine sahip, RPKI/ROA altyapısı kusursuz yapılandırılmış havuzlar için IPv4 kiralama rehberlerimizi inceleyin ve uzman mühendis kadromuzla iletişime geçin.