Skip to main content

Infrastructure à clé publique pour les ressources (RPKI)

RPKI est une infrastructure à clés publiques conçue pour sécuriser l'infrastructure de routage Internet, et plus particulièrement le protocole BGP (Border Gateway Protocol). RPKI permet de relier les informations relatives aux ressources numériques d'Internet (comme les adresses IP) à une ancre de confiance. Grâce à RPKI, les détenteurs légitimes de ces ressources peuvent contrôler le fonctionnement des protocoles de routage Internet afin de prévenir le détournement de routes et d'autres risques d'attaques. Pour plus d'informations, consultez RPKI – La mise à niveau cryptographique indispensable au routage BGP.

RPKI sur Internet Exchange

Les serveurs de routage d'Equinix Internet Exchange Multi-Lateral Peering Exchange (MLPE) utilisent RPKI pour valider tous les préfixes BGP qui leur sont annoncés par les clients, en les comparant aux enregistrements d'autorité des registres Internet régionaux (RIR). Nous exploitons des serveurs de cache redondants dans chaque zone métropolitaine d'échange Internet (IX) afin de faciliter la validation des clés, ainsi que des serveurs de validation redondants dans chaque région. Ce modèle d'infrastructure permet une validation rapide des routes et offre une résilience robuste pour maintenir le service en cas d'indisponibilité des bases de données des RIR.

Visibilité des clients

Looking Glass, un outil d'analyse des itinéraires sur le portail IX, permet de vérifier si les préfixes IP annoncés aux serveurs d'itinéraires Equinix sont validés. Equinix annonce également les communautés BGP aux clients pour indiquer si les préfixes individuels sont valides.

RPKI sur les sessions de peering bi-latérales

Vous pouvez également utiliser RPKI sur des sessions de peering bilatérales, bien qu'Equinix n'effectue aucune validation pour ces processus. Deux participants IX peuvent convenir d'utiliser RPKI pour protéger une session de peering entre eux, avec leur propre méthode pour valider les préfixes annoncés.

Processus de validation du préfixe MLPE

Ce diagramme montre comment Equinix IX gère le flux de processus pour la validation du préfixe MLPE pour IRR et RPKI.

  1. Le préfixe a passé avec succès les politiques MLPE internes – Le préfixe a passé plusieurs vérifications internes, telles que la longueur du préfixe, Bogon, l'ASN non valide et le prochain saut.

  2. Les registres de routage Internet (IRR) sont un ensemble de bases de données mondiales gérées par des registres Internet régionaux (RIR). De nombreux IRR sont des miroirs de leurs bases de données respectives. Ils contiennent des ressources d'objets de routage Internet décrivant les numéros de système autonome, les préfixes IP, la propriété, etc. Ces ressources sont utilisées par de nombreuses entités pour définir les politiques de routage.

    Equinix demande à ses clients de publier les informations relatives à leurs préfixes IP publics dans l'un des IRR. Equinix interroge un minimum d'un IRR avec une visibilité sur tous les autres IRR majeurs.

  3. Le filtrage RTBH (Remotely Triggered Black Hole) est une fonctionnalité autogérée qui vous permet de bloquer le trafic inutile avant qu'il n'entre dans le réseau protégé IX. RTBH vous protège des attaques par déni de service distribué (DDoS).

  4. Existence d'un ROA – Une autorisation d'origine de route (ROA) est une déclaration signée cryptographiquement qui se compose d'un préfixe, d'une longueur de préfixe, d'une longueur de préfixe maximale, d'un ASN d'origine et d'une date de validité.

    S'il n'existe pas de ROA pour l'annonce, le statut est Inconnu/Non trouvé.

  5. ROA valide – Le ROA et l’annonce de l’itinéraire correspondent.

  6. ROA non valide – Le ROA possède un préfixe correspondant, mais tous ses paramètres ne correspondent pas à l'annonce. Par exemple, l'ASN d'origine, la longueur du préfixe ou la longueur maximale du préfixe ne correspondent pas.

Cette page vous a-t-elle été utile ?