RPKI (FAQ)
Pode acessar clicando no seguinte link: https://milacnic.lacnic.net/
O RPKI é uma infraestrutura de chave pública que fornece mais ferramentas a um provedor para verificar o direito de uso por parte de um cliente de um recurso da Internet. Por exemplo, se um cliente solicitar o roteamento de um determinado bloco de endereços de um determinado ASN, o provedor pode pedir o material criptográfico correspondente e verificá-lo, seguindo a hierarquia RPKI.
Substitui, não. O RPKI é uma infraestrutura de chave pública que pode ser usada para gerar filtros em roteadores. O RPKI não vai substituir os IRR, uma vez que não implementa várias funcionalidades que estes têm (como o registro de políticas por ASN). Não obstante isso, a seção IRR da plataforma MiLACNIC usa os ROA gerados como fonte de informações.
O sequestro de recursos pode ocorrer quando um ASN anuncia nosso prefixo como está ou com um prefixo maior, seja por engano ou malícia. O projeto FORT explica o que são os sequestros de rota e mede os sequestros de rota na região por meio do Monitoramento FORT. O caso mais conhecido de um sequestro de rotas foi o da Pakistan Telecom. Mais informações no seguinte vídeo.
As duas particularidades mais marcantes de um certificado RPKI são:
- inexistência de informações de identificação do titular do certificado
- uso de extensões para a inclusão de endereços IPv4, IPv6 e ASN (essas extensões foram definidas no documento RFC 3779).
Para poder gerar certificados e ROA não é necessário que seus roteadores suportem RPKI. No entanto, para que os roteadores tomem decisões de roteamento com base na autenticidade das rotas baseadas no RPKI, é necessário um software de roteamento que suporte RPKI.
O projeto RPKI do LACNIC, suporta duas modalidades: delegada e hospedada. O LACNIC fornece o serviço hospedado, onde as organizações associadas podem (com acesso a uma página web simples) realizar todas as tarefas relacionadas à arquitetura RPKI sem a necessidade de uma autoridade certificadora (CA).
Alguns dos softwares de validação são:
- Validador FORT do NIC México e LACNIC https://fortproject.net/es/validator
- Routinator https://nlnetlabs.nl/projects/rpki/routinator/
- RPKI-client Openbsd https://www.rpki-client.org
- OctoRPKI https://github.com/cloudflare/cfrpki#octorpki
- RIPE NCC http://www.ripe.net/lir-services/resource-management/certification/tools-and-resources
A maioria dos fornecedores de equipamentos já suportam validação de origem. Entre eles, Cisco System, Juniper Network, Quagga, Mikrotik, Huawei.
Para verificar que seus prefixos foram assinados corretamente e que não há erros marcando rotas como inválidas, você pode acessar à ferramenta de validação de origem do LACNIC: https://milacnic.lacnic.net/lacnic/rpki/state