Ir al contenido principal

Infraestructura de clave pública de recursos (RPKI)

RPKI es un marco de infraestructura de clave pública diseñado para asegurar la infraestructura de enrutamiento de Internet, concretamente el protocolo de pasarela fronteriza (BGP). RPKI proporciona una forma de conectar la información sobre los recursos numéricos de Internet (como las direcciones IP) a un anclaje de confianza. Mediante RPKI, los titulares legítimos de recursos numéricos pueden controlar el funcionamiento de los protocolos de enrutamiento de Internet para evitar el secuestro de rutas y otros riesgos de ataque. Para más información, consulte RPKI - La actualización criptográfica necesaria para el enrutamiento BGP.

RPKI en Internet Exchange

Los servidores de rutas de Equinix Internet Exchange Multi-Lateral Peering Exchange (MLPE) utilizan RPKI para validar todos los prefijos BGP que les anuncian los clientes comparándolos con los registros de autoridad de los Registros Regionales de Internet (RIR). Operamos servidores caché redundantes en cada metro de Internet Exchange (IX) para facilitar la validación de claves, y operamos servidores validadores redundantes en cada región. Este modelo de infraestructura permite una rápida validación de las rutas y proporciona una sólida capacidad de recuperación para mantener el servicio si las bases de datos de los RIR dejan de estar disponibles.

Visibilidad del cliente

Looking Glass, una herramienta de análisis de rutas en el Portal IX, puede verificar si los prefijos IP que se anuncian a los servidores de rutas de Equinix están siendo validados. Equinix también anuncia comunidades BGP a los clientes para indicar si los prefijos individuales son válidos.

RPKI sobre sesiones de peering bilateral

También puede utilizar RPKI en sesiones de peering bilaterales, aunque Equinix no realiza ninguna validación para estos procesos. Dos participantes IX pueden acordar utilizar RPKI para proteger una sesión de peering entre ellos, con su propio método para validar los prefijos anunciados.

Proceso de validación del prefijo MLPE

Este diagrama muestra cómo Equinix IX gestiona el flujo de procesos para la validación del prefijo MLPE para IRR y RPKI.

  1. El prefijo ha superado las políticas internas de MLPE - El prefijo ha superado varias comprobaciones internas, como la longitud del prefijo, Bogon, ASN no válido y siguiente salto.

  2. IRRDB - Los Registros de Enrutamiento de Internet (IRR) son una colección de bases de datos (BD) distribuidas globalmente y mantenidas por los Registros Regionales de Internet (RIR). Muchos IRR reflejan las bases de datos de los demás. Los IRR contienen recursos de objetos de enrutamiento de Internet que describen números de sistemas autónomos, prefijos de números IP, titularidad, etcétera. Estos recursos son utilizados por numerosas entidades para ayudar a definir las políticas de enrutamiento.

    Equinix exige a los clientes que publiquen información relacionada con sus prefijos IP públicos en uno de los IRR. Equinix consulta un mínimo de un IRR con visibilidad en todos los demás IRR principales.

  3. RTBH - El filtrado de agujeros negros activado de forma remota (RTBH) es una función autogestionada que le permite bloquear el tráfico innecesario antes de que entre en la red protegida IX. RTBH le protege de los ataques distribuidos de denegación de servicio (DDoS).

  4. ROA Existe - Una autorización de origen de ruta (ROA) es una declaración firmada criptográficamente que consta de un prefijo, la longitud del prefijo, la longitud máxima del prefijo, el ASN de origen y una fecha de validez.

    Si no hay ROA para el anuncio, el estado es Desconocido/No encontrado.

  5. ROA Válido - El ROA y el anuncio de ruta coinciden.

  6. ROA Inválido - El ROA tiene un prefijo coincidente, pero no todos los parámetros dentro del ROA coinciden con el anuncio. Por ejemplo, el ASN de origen, la longitud del prefijo o la longitud máxima del prefijo no coinciden.

¿Fue útil esta página?