Piątego grudnia nasza sieć stanie się jeszcze bardziej bezpieczna. Wdrożymy walidację i filtrowanie Resource Public Key Infrastructure (RPKI), które chronią przed manipulacjami trasami BGP.

BGP Hijacking

Każdy operator, który rozgłasza swoje prefiksy, powinien zgłosić je do regionalnego rejestratora. W Europie jest to RIPE NCC, które tworzy bazę danych – przypisanych do konkretnych właścicieli – adresów IP oraz ASN. Porządkuje to ruch w globalnej sieci.

Zgłaszając swoje prefiksy do RIPE w istocie je zastrzegamy i oficjalnie informujemy użytkowników internetu, że jesteśmy właścicielami tych adresów. Dzięki temu wiadomo, do jakich routerów powinien być przekazywany ruch. Odpowiada za to protokół BGP.

Zastrzeżenie własnych adresów IP jest istotne m.in. ze względu na tak zwany BGP Hijacking. Polega on na podszyciu się pod nasz prefiks i przekierowaniu skierowanego do nas ruchu do obcego routera. Może to skutkować utratą danych wrażliwych lub nawet całkowitym odcięciem nas od sieci.

Ataki BGP Hijacking są trudne do wykrycia, ponieważ często wychodzący od nas ruch przebiega prawidłowo i tylko ruch powrotny przechodzi przez serwery szpiegujące.

Rozwiązanie: RPKI

BGP buduje i utrzymuje internetową tablicę routingu, jednak sam nie jest w stanie zweryfikować informacji o routingu. Dlatego możliwe jest podszycie się pod posiadacza danego prefiksu.

Z pomocą przychodzi RPKI, które jest technologią wykorzystującą kryptografię asymetryczną i architekturę klucza publicznego. W praktyce zapewnia po prostu poprawną walidację tras BGP ogłaszanych przez sieci tworzące internet.

RPKI jest częścią globalnej inicjatywy Mutually Agreed Norms for Routing Security (MANRS), której celem jest:

• poprawienie bezpieczeństwa i odporności globalnego systemu routingu w internecie,
• zmniejszenie ryzyka przypadkowych incydentów routingu BGP (przecieki tras),
• zapobieganiu złośliwemu przechwyceniu zasobów IP.

Jak działa RPKI?

RPKI analizuje bazy danych regionalnych rejestrów internetowych, które zawierają takie informacje, jak ASN i adres IP. Na ich podstawie może określić, który system autonomiczny (AS) jest upoważniony do tworzenia określonego prefiksu BGP.

Architektura RPKI pozwala wymieniać informacje z routerami i porównywać czy otrzymane ogłoszenie prefiksu BGP pochodzi z sieci/routera prawowitego właściciela. W przypadku gdy walidacja zakończy się negatywnie, router odrzuci prefiks BGP.

Walidacja RPKI w Orange

Walidację i filtrowanie RPKI na każdej sesji peeringowej BGP z sieciami AS5617 (TPNET), AS29535 (Internet.optimum) oraz AS21395 (Content Premium) aktywujemy 5 grudnia 2022. Zalecamy sprawdzenie poprawności ustawień swojej sieci, szczególnie w zakresie spójności już dokonanych podpisów RPKI z informacjami rozgłaszanymi w protokole BGP. Odrzucenie przez naszą sieć niepoprawnie podpisanego prefiksu może zmienić rozpływ ruchu na Państwa łączach. W skrajnych przypadkach, niepoprawna konfiguracja może spowodować zablokowanie dostępu do sieci.