RPKI – jeszcze bezpieczniejsza sieć Orange

Piątego grudnia nasza sieć stanie się jeszcze bardziej bezpieczna. Wdrożymy walidację i filtrowanie Resource Public Key Infrastructure (RPKI), które chronią przed manipulacjami trasami BGP.

BGP Hijacking

Każdy operator, który rozgłasza swoje prefiksy, powinien zgłosić je do regionalnego rejestratora. W Europie jest to RIPE NCC, które tworzy bazę danych – przypisanych do konkretnych właścicieli – adresów IP oraz ASN. Porządkuje to ruch w globalnej sieci.

Zgłaszając swoje prefiksy do RIPE w istocie je zastrzegamy i oficjalnie informujemy użytkowników internetu, że jesteśmy właścicielami tych adresów. Dzięki temu wiadomo, do jakich routerów powinien być przekazywany ruch. Odpowiada za to protokół BGP.

Zastrzeżenie własnych adresów IP jest istotne m.in. ze względu na tak zwany BGP Hijacking. Polega on na podszyciu się pod nasz prefiks i przekierowaniu skierowanego do nas ruchu do obcego routera. Może to skutkować utratą danych wrażliwych lub nawet całkowitym odcięciem nas od sieci.

Ataki BGP Hijacking są trudne do wykrycia, ponieważ często wychodzący od nas ruch przebiega prawidłowo i tylko ruch powrotny przechodzi przez serwery szpiegujące.

Rozwiązanie: RPKI

BGP buduje i utrzymuje internetową tablicę routingu, jednak sam nie jest w stanie zweryfikować informacji o routingu. Dlatego możliwe jest podszycie się pod posiadacza danego prefiksu.

Z pomocą przychodzi RPKI, które jest technologią wykorzystując kryptografię asymetryczną i architekturę klucza publicznego. W praktyce zapewnia po prostu poprawną walidację tras BGP ogłaszanych przez sieci tworzące internet.

RPKI jest częścią globalnej inicjatywy Mutually Agreed Norms for Routing Security (MANRS), której celem jest:

  • poprawienie bezpieczeństwa i odporności globalnego systemu routingu w internecie,
  • zmniejszenie ryzyka przypadkowych incydentów routingu BGP (przecieki tras),
  • zapobieganiu złośliwemu przechwyceniu zasobów IP.

Jak działa RPKI?

RPKI analizuje bazy danych regionalnych rejestrów internetowych, które zawierają takie informacje jak ASN i adres IP. Na ich podstawie może określić, który system autonomiczny (AS) jest upoważniony do tworzenia określonego prefiksu BGP.

Architektura RPKI pozwala wymieniać informacje z routerami i porównywać czy otrzymane ogłoszenie prefiksu BGP pochodzi z sieci/routera prawowitego właściciela. W przypadku gdy walidacja zakończy się negatywnie, router odrzuci prefiks BGP.

Walidacja RPKI w Orange

Walidację i filtrowanie RPKI na każdej sesji peeringowej BGP z sieciami AS5617 (TPNET), AS29535 (Internet.optimum) oraz AS21395 (Content Premium) aktywujemy 5 grudnia 2022. Zalecamy sprawdzenie poprawności ustawień swojej sieci, szczególnie w zakresie spójności już dokonanych podpisów RPKI z informacjami rozgłaszanymi w protokole BGP. Odrzucenie przez naszą sieć niepoprawnie podpisanego prefiksu może zmienić rozpływ ruchu na Państwa łączach. W skrajnych przypadkach, niepoprawna konfiguracja może spowodować zablokowanie dostępu do sieci.

Najnowsze wpisy

Gramy dalej! Kolejne rekordy w ruchu na naszej sieci w czasie Mundialu

Polska Reprezentacja po raz pierwszy od 36 lat wyszła z grupy na Mistrzostwach Świata, a my pobiliśmy kolejne rekordy w ruchu na naszej sieci.

Dowiedz się więcej

Aktualizacja baz łączy VDSL oraz punktów dostępowych - 29.11.2022

Zachęcamy do pobrania plików zawierających aktualizację bazy VDSL oraz punktów dostępowych.

Dowiedz się więcej

SOR – aktualizacje załączników – 29.11.2022

Zapraszamy do zapoznania się z listą zaktualizowanych załączników SOR.

Dowiedz się więcej

RPKI - jeszcze bezpieczniejsza sieć Orange

Wdrażamy walidację i filtrowanie Resource Public Key Infrastructure (RPKI), które chronią przed manipulacjami trasami BGP.

Dowiedz się więcej