Olá! Trabalho como engenheiro de rede sênior na DataLine, estou envolvido com redes desde 2009 e tive tempo de observar de fora como as empresas foram atacadas devido à vulnerabilidade do protocolo de roteamento BGP. O Hijacking de BGP sozinho já vale a pena: alguns anos atrás, os hackers roubaram US $ 137.000 interceptando as rotas de BGP .
Com a transição para o controle remoto, as empresas organizam o acesso de casa por meio de conexões seguras usando NGFW, IPS / IDS, WAF e outras soluções. Mas a segurança do BGP às vezes é esquecida. Em uma série de artigos, mostrarei como o cliente de cada provedor de serviços pode se proteger com RPKI, uma ferramenta de proteção de roteamento global na Internet. No primeiro artigo, explicarei com um exemplo como funciona e como configurar a proteção do lado do cliente com alguns cliques. No segundo, compartilharei minha experiência de implementação de RPKI em BGP usando o exemplo de roteadores Cisco.

O que é importante saber sobre RPKI e o que a geladeira tem a ver com isso
RPKI (Resource Public Key Infrastructure) – . , .
. (), ( ), , - .
. RPKI X.509 PKI, RFC3779. . , , :

:
IANA (Internet Address Number Authority) – . - IANA, IP- . (AS) – IP- , . AS .
RIR (Regional Internet Registry) – -, IANA . 5 – RIPE NCC, ARIN, APNIC, AfriNIC, LACNIC.
LIR (Local Internet Registry) – -, , -. RIR LIR’, .
RPKI. , . IANA RIR, – LIR.

, . RPKI RIR – " ", Trust Anchors.
. , , ROA.
ROA (Route Origin Authorisation) – c , , AS - . ROA 3 :
AS, ;
( IP- : xxx.xxx.xxx.xxx/yy);
.
, AS . , . , .
, ROA :
VALID – ROA, ROA. AS AS_PATH AS ROA, ROA, .
INVALID – ROA, ROA.
UNKNOWN – , ROA Trust Anchor RIR. , . RPKI, . UNKNOWN .
. , .../22, AS N. ROA. Trust Anchor, UNKNOWN.
ROA c : AS N, .../22, – /23. AS N - /22 /23 , /22 . VALID.
/24 AS N /22 (/23+/23) AS P, INVALID. , /24 , . , ROA ROA.
:
RPKI-.
- RPKI.
. - .
. - RPKI ROA Trust Anchors RSYNC RRDP . RPKI- ROA . ROA, RPKI-RTR. TCP- 8282. .

, – -. AS /24 IP-, eBGP , full view , . , RPKI .
ROA , .
RIPE NCC :
RIPE https://my.ripe.net. Resourses, – RPKI Dashboard.
, RIPE EULA.
(Certificate Authority, CA):
- Hosted – RIPE;
- Non-Hosted – .
Hosted. Non-Hosted XML-, . RIPE NCC XML-, RPKI CA.
RPKI Dashboard BGP Announncements. Show All.
- Origin AS. ROA Create ROAs for selected BGP announcements.
, ROA. :
Publish!
, ! !
PI- RIPE . Wizard RIPE NCC: https://portal.ripe.net/rpki-enduser.
RPKI. BGP , , , – .
-, RPKI.
, !