RPKI (FAQ)

Como faço para acessar o sistema RPKI de LACNIC?

Você pode acessar através do seguinte link http://rpki.lacnic.net

O que é um ROA?

Route Origination Authorizations (ROA) são objetos assinados digitalmente que fornecem a autorização explícita por parte do custódio de um bloco de endereços que um AS específico pode ser a origem de um grupo de endereços.

Como pode o RPKI melhorar a segurança do roteamento da Internet?

O RPKI é uma infraestrutura de chave pública que oferece mais ferramentas a um provedor para verificar o direito de uso de um recurso da Internet por parte de um cliente. Por exemplo, se um cliente pedir o roteamento de determinado bloco de endereços a partir de determinado ASN, o provedor pode pedir o material criptográfico correspondente e realizar a verificação do mesmo seguindo a hierarquia RPKI.

Como são gerados os filtros de prefixos na Internet hoje?

Cada provedor escolhe quais informações são adequadas para a construção de seus filtros. Em alguns casos as informações existentes são usadas nos servidores de registros de rotas (ou Internet Routing Registries), em outros casos os provedores têm interfaces web em que o cliente é quem escolhe os prefixos que quer anunciar. A geração rápida, embora adequada de filtros na Internet de hoje é uma ferramenta fundamental para garantir o funcionamento correto da rede, combater o sequestro de recursos, mas mantendo o dinamismo necessário para permitir mudanças topológicas.

O RPKI substitui os Registros de Roteamento da Internet?

Substitui não, o RPKI é uma infraestrutura de chave pública que pode ser usada para a geração de filtros em roteadores. O RPKI não vai substituir os IRR já que não implementa várias das funcionalidades que eles têm, como o registro de políticas por ASN. No entanto, a seção IRR da plataforma MiLacnic usa os ROAs gerados como fonte de informações.

O que é o sequestro de recursos?

O sequestro de recursos pode ocorrer quando um ASN anuncia nosso prefixo como está ou com um prefixo maior, seja por engano ou malícia. O caso mais conhecido de um sequestro de rotas foi o da Pakistan Telecom. Por mais informações, clique no vídeo a seguir https://youtu.be/IzLPKuAOe50

Como é que um certificado de RPKI parece?

As duas características mais importantes de um certificado RPKI são a inexistência de informações de identificação do sujeito do certificado e o uso de extensões para incluir tanto os endereços do IPv4 e IPv6, quanto de ASN. Estas extensões foram definidas no documento RFC 3779.

Meus roteadores devem suportar RPKI?

Para poder gerar certificados e ROA não é necessário que seus roteadores suportem RPKI. No entanto, para que os roteadores possam tomar decisões de roteamento baseadas na autenticidade das rotas baseadas no RPKI é preciso dispor de software de roteamento que suporte RPKI

Com RPKI cada organização tem de manter uma Autoridade Certificadora (CA)?

O projeto RPKI de LACNIC permite operar em duas modalidades, "delegada" e "hospedada". Atualmente LACNIC oferece o serviço "hospedada" donde as organizações membros podem por meio de um site realizar todas as tarefas relacionadas com a arquitetura RPKI sem a necessidade de implementar uma Entidade Certificadora (CA).

Onde posso obter software para validar os repositórios de RPKI?

Alguns dos software de validação são:

Quais roteadores suportam validação de origem em RPKI?

A maioria dos provedores de equipes já suportam validação de origem, entre eles Cisco System, Juniper Network, Quagga, Huawei.

Como posso verificar se as minhas rotas estão corretamente assinadas?

Para verificar que seus prefixos tenham sido assinados corretamente e que não existem erros que marquem rotas como invalidas pode visitar a ferramenta de validação de origem de LACNIC:

https://milacnic.lacnic.net/lacnic/rpki/state

Onde estão os Trust Anchor Locator (TAL)?

Os TALs podem ser descarregados desde os seguintes links:
- TAL do LACNIC (formato para validador do RIPE NCC)
- TAL do LACNIC (formato RFC 7730, para outros validadores)

SYSTEM CERTIFICATION ISO 9001 SGS

Top CHK_LACNIC