Infra-estrutura de chave pública de recursos (RPKI)

RPKI é uma estrutura de infraestrutura de chave pública projetada para proteger a infraestrutura de roteamento da Internet, especificamente o Border Gateway Protocol (BGP). O RPKI fornece uma maneira de conectar informações sobre recursos numéricos da Internet (como endereços IP) a uma âncora de confiança. Usando o RPKI, os detentores legítimos de recursos numéricos podem controlar a operação dos protocolos de roteamento da Internet para evitar sequestro de rotas e outros riscos de ataque. Para obter mais informações, consulte RPKI – A atualização criptográfica necessária para o roteamento BGP.

RPKI no Internet Exchange

Os servidores de roteamento do Equinix Internet Exchange Multi-Lateral Peering Exchange (MLPE) utilizam RPKI para validar todos os prefixos BGP anunciados pelos clientes, comparando-os com os registros de autoridade dos Registros Regionais da Internet (RIRs). Operamos servidores de cache redundantes em cada ponto de troca de internet (IX) metropolitano para facilitar a validação de chaves, além de servidores validadores redundantes em cada região. Esse modelo de infraestrutura permite a validação rápida de rotas e oferece resiliência robusta para manter o serviço caso os bancos de dados dos RIRs fiquem indisponíveis.

Visibilidade do cliente

O Looking Glass, uma ferramenta de análise de rotas no IX Portal, pode verificar se os prefixos IP anunciados aos servidores de rotas da Equinix estão sendo validados. A Equinix também anuncia comunidades BGP aos clientes para indicar se os prefixos individuais são válidos.

RPKI sobre Sessões de Peering Bi-Lateral

Você também pode usar o RPKI em sessões de peering bilaterais, embora a Equinix não realize nenhuma validação para esses processos. Dois participantes do IX podem concordar em usar a RPKI para proteger uma sessão de peering entre eles, com seu próprio método de validação dos prefixos anunciados.

Processo de validação do prefixo MLPE

Este diagrama mostra como o Equinix IX lida com o fluxo de processos para validação de prefixos MLPE para IRR e RPKI.

1. O prefixo passou pelas políticas internas do MLPE – O prefixo passou por várias verificações internas, como comprimento do prefixo, Bogon, ASN inválido e próximo salto.

2. IRRDB – Registros de Roteamento da Internet (IRRs) são uma coleção de bancos de dados (BDs) distribuído globalmente, mantidos por Registros Regionais da Internet (RIRs). Muitos IRRs espelham os bancos de dados uns dos outros. Os IRRs contêm recursos de objetos de roteamento da Internet que descrevem Números de Sistema Autônomo, prefixos de números IP, propriedade e assim por diante. Esses recursos são usados ​​por diversas entidades para ajudar a definir políticas de roteamento.

   A Equinix exige que os clientes publiquem informações relacionadas aos seus prefixos IP públicos em uma das IRRs. A Equinix consulta um mínimo de uma IRR com visibilidade para todas as outras IRRs principais.

3. RTBH – A filtragem de Buraco Negro Acionado Remotamente (RTBH) é um recurso autogerenciado que você bloquear tráfego desnecessário antes que ele entre na rede protegida pelo IX. O RTBH protege você contra ataques de Negação de Serviço Distribuído (DDoS).

4. Existe ROA – Uma Autorização de Origem de Rota (ROA, na sigla em inglês) é uma declaração assinada criptograficamente que consiste em um prefixo, comprimento do prefixo, comprimento máximo do prefixo, ASN de origem e data de validade.

   Se não houver ROA para o anúncio, o status é Desconhecido/NãoFundado.

5. ROA válido – O ROA e o anúncio da rota correspondem.

6. ROA inválido – O ROA possui um prefixo correspondente, mas nem todos os parâmetros dentro do ROA correspondem ao anúncio. Por exemplo, o ASN de origem, o comprimento do prefixo ou o comprimento máximo do prefixo não correspondem.