WHOIS Mi LACNIC
Su dirección IP es / Your IP address is: 

RPKI (FAQ)

Como faço para acessar o sistema RPKI de LACNIC?

Para a geração de certificados e ROA o sistema do RPKI de LACNIC pode ser acessado em: http://rpki.lacnic.net

O que é um ROA?

Route Origination Authorizations (ROA) são objetos assinados digitalmente que fornecem a autorização explícita por parte do custódio de um bloco de endereços que um AS específico pode ser a origem de um grupo de endereços.

Como pode o RPKI melhorar a segurança do roteamento da Internet?

O RPKI é uma infraestrutura de chave pública que oferece mais ferramentas a um provedor para verificar o direito de uso de um recurso da Internet por parte de um cliente. Por exemplo, se um cliente pedir o roteamento de determinado bloco de endereços a partir de determinado ASN, o provedor pode pedir o material criptográfico correspondente e realizar a verificação do mesmo seguindo a hierarquia RPKI.

Como são gerados os filtros de prefixos na Internet hoje?

Cada provedor escolhe quais informações são adequadas para a construção de seus filtros. Em alguns casos as informações existentes são usadas nos servidores de registros de rotas (ou Internet Routing Registries), em outros casos os provedores têm interfaces web em que o cliente é quem escolhe os prefixos que quer anunciar. A geração rápida, embora adequada de filtros na Internet de hoje é uma ferramenta fundamental para garantir o funcionamento correto da rede, combater o sequestro de recursos, mas mantendo o dinamismo necessário para permitir mudanças topológicas.

O RPKI substitui os Registros de Roteamento da Internet?

Substitui não, o RPKI é uma infraestrutura de chave pública que pode ser usada para a geração de filtros em roteadores. O RPKI não vai substituir os IRR já que não implementa várias das funcionalidades que eles têm, como o registro de políticas por ASN. Estão sendo desenvolvidas tecnologias dentro do grupo SIDR do IETF para incorporar na linguagem RPSL (Routing Policy Specification Language) a assinatura de objetos usando as chaves geradas na infraestrutura RPKI.

O que é o sequestro de recursos?

Sequestro de recursos em ação, o caso YouTube

Os seqüestros de recursos mais prejudiciais para a estabilidade e segurança da rede são aqueles que ocorrem sobre recursos que estão ativamente em uso. Em particular, quando o anúncio de prefixos é feito de forma mais específica. Um caso muito conhecido foi o sequestro de recursos a YouTube em fevereiro de 2008.

O sequestro de recursos é o anúncio de prefixos IPv4, IPv6 ou Números de Sistemas Autônomos na tabela global de rotas da Internet, por organizações que não têm o direito de uso desses prefixos. O anúncio na tabela de rotas da Internet pode propagar-se por falta de controles adequados dos provedores que fornecem conectividade à organização que realiza o sequestro. A causa do sequestro de recursos nem sempre é maliciosa, muitas vezes existem erros na operação e manutenção das redes que têm como consequência um aparente sequestro do recurso. Um exemplo de sequestro de recursos na Internet é o anúncio de blocos de endereços que não foram ainda designados pelos RIR. Este fenômeno acontece todos os dias na nossa rede. O sequestro de recursos pode ter um alcance limitado a uma região ou a um grupo de provedores, dependendo das políticas que cada um destes implementem, mas também pode ter consequências globais. Em geral, perante um sequestro de endereços, um provedor de serviços da Internet (ISP) não tem à sua disposição outra ferramenta mais do que tentar entrar em contato com a fonte do seqüestro e incentivar para que o incidente cesse.

  • Lista completa de recursos atualmente susteitosos de serem sequestrados: IPv4 e IPv6

Como é que um certificado de RPKI parece?

As duas características mais importantes de um certificado RPKI são a inexistência de informações de identificação do sujeito do certificado e o uso de extensões para incluir tanto os endereços do IPv4 e IPv6, quanto de ASN. Estas extensões foram definidas no documento RFC 3779.

Meus roteadores devem suportar RPKI?

Para poder gerar certificados e ROA não é necessário que seus roteadores suportem RPKI. No entanto, para que os roteadores possam tomar decisões de roteamento baseadas na autenticidade das rotas baseadas no RPKI é preciso dispor de software de roteamento que suporte RPKI

Com RPKI cada organização tem de manter uma Autoridade Certificadora (CA)?

O projeto RPKI de LACNIC permite operar em duas modalidades, "delegada" e "hospedada". Atualmente LACNIC oferece o serviço "hospedada" donde as organizações membros podem por meio de um site realizar todas as tarefas relacionadas com a arquitetura RPKI sem a necessidade de implementar uma Entidade Certificadora (CA).

Onde posso obter software para validar os repositórios de RPKI?

Alguns dos software de validação são:

Quais roteadores suportam validação de origem em RPKI?

A maioria dos provedores de equipes já suportam validação de origem, entre eles Cisco System, Juniper Network, Quagga, Mikrotik, Huawei.

Como posso verificar se as minhas rotas estão corretamente assinadas?

Para verificar que seus prefixos tenham sido assinados corretamente e que não existem erros que marquem rotas como invalidas pode visitar a ferramenta de validação de origem de LACNIC:

https://milacnic.lacnic.net/lacnic/rpki/state

Top CHK_LACNIC