Skip to main content

Infrastructure à clé publique de ressources (RPKI)

RPKI est un cadre d'infrastructure à clé publique conçu pour sécuriser l'infrastructure de routage de l'internet, en particulier le protocole BGP (Border Gateway Protocol). RPKI permet de relier les informations sur les ressources numériques de l'internet (comme les adresses IP) à une ancre de confiance. Grâce à RPKI, les détenteurs légitimes de ressources numériques peuvent contrôler le fonctionnement des protocoles de routage Internet afin d'empêcher le détournement d'itinéraires et d'autres risques d'attaque. Pour plus d'informations, consultez [RPKI - The required cryptographic upgrade to BGP routing] (https://blog.cloudflare.com/rpki/).

RPKI sur Internet Exchange

Equinix Internet Exchange Multi-Lateral Peering Exchange (MLPE) Les serveurs de routage utilisent RPKI pour valider tous les préfixes BGP qui leur sont annoncés par les clients par rapport aux enregistrements d'autorité des registres Internet régionaux (RIR). Nous exploitons des serveurs de cache redondants dans chaque métro d'échange Internet (IX) pour faciliter la validation des clés, et nous exploitons des serveurs de validation redondants dans chaque région. Ce modèle d'infrastructure permet une validation rapide des itinéraires et fournit une résilience robuste pour maintenir le service si les bases de données des RIR deviennent indisponibles.

Visibilité du client

Looking Glass, un outil d'analyse des itinéraires sur le portail IX, permet de vérifier si les préfixes IP annoncés aux serveurs d'itinéraires Equinix sont validés. Equinix annonce également les communautés BGP aux clients pour indiquer si les préfixes individuels sont valides.

RPKI sur les sessions de peering bilatérales

Vous pouvez également utiliser la RPKI pour des sessions d'échange de trafic bilatérales, bien qu'Equinix n'effectue aucune validation pour ces processus. Deux participants IX peuvent convenir d'utiliser la RPKI pour protéger une session d'échange de trafic entre eux, avec leur propre méthode de validation des préfixes annoncés.

Processus de validation du préfixe MLPE

Ce diagramme montre comment Equinix IX gère le flux de processus pour la validation du préfixe MLPE pour IRR et RPKI.

  1. Le préfixe a passé les politiques internes de MLPE - Le préfixe a passé plusieurs contrôles internes, tels que la longueur du préfixe, le Bogon, l'ASN invalide et le saut suivant.

  2. IRRDB - Les registres de routage Internet (IRR) sont une collection de bases de données distribuées au niveau mondial et gérées par les registres Internet régionaux (RIR). De nombreux IRR reflètent leurs bases de données respectives. Les IRR contiennent des ressources d'objets de routage internet qui décrivent les numéros de systèmes autonomes, les préfixes de numéros IP, la propriété, etc. Ces ressources sont utilisées par de nombreuses entités pour définir les politiques de routage.

    Equinix demande à ses clients de publier les informations relatives à leurs préfixes IP publics dans l'un des IRR. Equinix interroge au minimum un IRR avec une visibilité sur tous les autres IRR majeurs.

  3. RTBH - Le filtrage RTBH (Remotely Triggered Black Hole) est une fonction autogérée qui vous permet de bloquer le trafic inutile avant qu'il ne pénètre dans le réseau protégé IX. Le RTBH vous protège des attaques par déni de service distribué (DDoS).

  4. ROA Exists - Une autorisation d'origine de route (ROA) est une déclaration signée cryptographiquement qui consiste en un préfixe, une longueur de préfixe, une longueur de préfixe maximale, un ASN d'origine et une date de validité.

    S'il n'y a pas de ROA pour l'annonce, le statut est Inconnu/Non trouvé.

  5. ROA Valid - La ROA et l'annonce de route correspondent.

  6. ROA invalide - Le ROA a un préfixe correspondant, mais tous les paramètres du ROA ne correspondent pas à l'annonce. Par exemple, l'ASN d'origine, la longueur du préfixe ou la longueur maximale du préfixe ne correspondent pas.

Cette page vous a-t-elle été utile ?