Piątego grudnia nasza sieć stanie się jeszcze bardziej bezpieczna. Wdrożymy walidację i filtrowanie Resource Public Key Infrastructure (RPKI), które chronią przed manipulacjami trasami BGP.
BGP Hijacking
Każdy operator, który rozgłasza swoje prefiksy, powinien zgłosić je do regionalnego rejestratora. W Europie jest to RIPE NCC, które tworzy bazę danych – przypisanych do konkretnych właścicieli – adresów IP oraz ASN. Porządkuje to ruch w globalnej sieci.
Zgłaszając swoje prefiksy do RIPE w istocie je zastrzegamy i oficjalnie informujemy użytkowników internetu, że jesteśmy właścicielami tych adresów. Dzięki temu wiadomo, do jakich routerów powinien być przekazywany ruch. Odpowiada za to protokół BGP.
Zastrzeżenie własnych adresów IP jest istotne m.in. ze względu na tak zwany BGP Hijacking. Polega on na podszyciu się pod nasz prefiks i przekierowaniu skierowanego do nas ruchu do obcego routera. Może to skutkować utratą danych wrażliwych lub nawet całkowitym odcięciem nas od sieci.
Ataki BGP Hijacking są trudne do wykrycia, ponieważ często wychodzący od nas ruch przebiega prawidłowo i tylko ruch powrotny przechodzi przez serwery szpiegujące.
BGP buduje i utrzymuje internetową tablicę routingu, jednak sam nie jest w stanie zweryfikować informacji o routingu. Dlatego możliwe jest podszycie się pod posiadacza danego prefiksu.
Z pomocą przychodzi RPKI, które jest technologią wykorzystującą kryptografię asymetryczną i architekturę klucza publicznego. W praktyce zapewnia po prostu poprawną walidację tras BGP ogłaszanych przez sieci tworzące internet.
RPKI jest częścią globalnej inicjatywy Mutually Agreed Norms for Routing Security (MANRS), której celem jest:
RPKI analizuje bazy danych regionalnych rejestrów internetowych, które zawierają takie informacje, jak ASN i adres IP. Na ich podstawie może określić, który system autonomiczny (AS) jest upoważniony do tworzenia określonego prefiksu BGP.
Architektura RPKI pozwala wymieniać informacje z routerami i porównywać czy otrzymane ogłoszenie prefiksu BGP pochodzi z sieci/routera prawowitego właściciela. W przypadku gdy walidacja zakończy się negatywnie, router odrzuci prefiks BGP.
Walidację i filtrowanie RPKI na każdej sesji peeringowej BGP z sieciami AS5617 (TPNET), AS29535 (Internet.optimum) oraz AS21395 (Content Premium) aktywujemy 5 grudnia 2022. Zalecamy sprawdzenie poprawności ustawień swojej sieci, szczególnie w zakresie spójności już dokonanych podpisów RPKI z informacjami rozgłaszanymi w protokole BGP. Odrzucenie przez naszą sieć niepoprawnie podpisanego prefiksu może zmienić rozpływ ruchu na Państwa łączach. W skrajnych przypadkach, niepoprawna konfiguracja może spowodować zablokowanie dostępu do sieci.
28 listopada 2024
SOR – aktualizacje załączników – 28.11.2024
Zapraszamy do zapoznania się z listą zaktualizowanych załączników SOR.
25 listopada 2024
Aktualizacja baz łączy VDSL oraz punktów dostępowych - 25.11.2024
Zachęcamy do pobrania plików zawierających aktualizację bazy VDSL oraz punktów dostępowych.
07 listopada 2024
Aktualizacja baz łączy VDSL oraz punktów dostępowych - 07.11.2024
Zachęcamy do pobrania plików zawierających aktualizację bazy VDSL oraz punktów dostępowych.
07 listopada 2024
Wykaz lokalizacji do wyłączenia z możliwości świadczenia usług LLU
6 lutego 2025 r. pod wskazanymi adresami zostanie wyłączona z eksploatacji infrastruktura miedziana doprowadzona do tych budynków.