Everything you need to know about Resource Public Key Infrastructure (RPKI)

• La sécurité de l'information est un sujet brûlant éternel, et le Border Gateway Protocol (BGP) est exposé à des vulnérabilités depuis longtemps. Il est intéressant de se renseigner sur un nouveau cadre de chiffrement, l'infrastructure de clé publique de ressource, ou RPKI.
• Les opérateurs de réseau utilisent des mécanismes fondés sur la confiance, tels que les protocoles pair-à-pair et le filtrage manuel des routes, pour réduire le risque de détournement BGP. Bien qu'efficaces dans une certaine mesure, ces solutions ont leurs propres limites.
• En exploitant la puissance de la cryptographie, RPKI offre une solution standardisée et évolutive aux défis persistants posés par les vulnérabilités BGP.

NOTRE AVIS:
RPKI représente un bond en avant monumental dans la sécurité du routage Internet, en utilisant la cryptographie pour fournir une solution standardisée et évolutive aux défis persistants posés par les vulnérabilités BGP.
–Fei Wang, journaliste BTW Voir aussi: FLESSIO-AS Thomas Soo faisant affaire sous flessio.

Pourquoi avons-nous besoin de RPKI ?

En matière de sécurité des informations réseau, vous avez peut-être entendu parler du Border Gateway Protocol (BGP). Pourtant, en tant qu'épine dorsale du routage Internet, le BGP est depuis longtemps exposé à des vulnérabilités, le rendant vulnérable à la manipulation et au détournement. L'infrastructure de clé publique de ressource (RPKI) est un cadre de chiffrement conçu pour renforcer le BGP et protéger les routes Internet contre les acteurs malveillants. Voir aussi: Registre des membres disparaissant de l'AfriNIC.

À lire aussi: Qu'est-ce que le protocole RIP (Routing Information Protocol) ?

Le BGP sous-jacent est le protocole qui relie l'épine dorsale d'Internet et aide les routeurs à déterminer le chemin le plus efficace pour que les paquets transitent sur Internet. Il échange des informations de routage entre réseaux (systèmes autonomes), de la même manière que le GPS communique avec les satellites et d'autres appareils GPS pour fournir des indications de navigation précises. Les routeurs annoncent leurs routes disponibles aux routeurs voisins via des messages BGP. Ces messages contiennent des informations sur les préfixes IP accessibles et le chemin pour les atteindre. Ensuite, les routeurs voisins utilisent ces informations pour mettre à jour leur table de routage et déterminer le chemin optimal de transfert des paquets vers l'adresse IP de destination. Voir aussi: AfriNIC: disparition du registre des membres.

À lire aussi: Sécurité, anonymat et stabilité: pourquoi les serveurs proxy sont un outil internet de plus en plus populaire

Mais un scénario que nous ne pouvons ignorer est celui où une entité malveillante infiltre le réseau d'un fournisseur d'accès Internet et annonce frauduleusement le mauvais routage des préfixes IP. Soudainement, le trafic légitime est détourné vers des destinations indésirables, provoquant le chaos et compromettant la confidentialité, l'intégrité et la disponibilité des services en ligne. Ce phénomène insidieux, parfois appelé détournement BGP, souligne le besoin urgent de mesures de sécurité solides pour protéger le routage Internet. Voir aussi: NOBAQ Nikolaus Hammler.

Voici un exemple: en février 2008, pour exécuter un ordre gouvernemental, Pakistan Telecom a annoncé par erreur une route BGP pour rediriger le trafic de YouTube vers ses propres serveurs. Malheureusement, le fournisseur en amont qui a reçu la route l'a acceptée sans vérification, puis a transmis l'information, propageant ainsi la fausse route à travers Internet jusqu'à ce que presque tout le monde croie que Facebook avait déplacé ses serveurs dans le réseau pakistanais. Cette bévue a non seulement paralysé YouTube, mais a également mis le fournisseur d'accès Internet (FAI) pakistanais dans une situation difficile, car il a rapidement reçu des millions de requêtes des utilisateurs de YouTube.

Parce que BGP ne garantit pas l'authenticité des annonces de routage, les attaques délibérées des pirates et la configuration incorrecte des paramètres réseau peuvent entraîner un détournement de route. En tant que prochaine infrastructure clé de sécurité Internet déployée par l'ICANN après DNSSEC, RPKI construit un système d'authentification d'autorisation des ressources d'adresses IP du point de vue de la gestion des ressources d'adresses IP pour vérifier si l'annonce de routage d'un préfixe d'adresse IP spécifique est légitime, et fournit un schéma de sécurité de routage interzone (tel que S-BGP et BGPS EC) dont la mise en œuvre fournit une source d'information fiable. Voir aussi: Internet Utilities Europe and Asia Limited.

Ma Di, Centre d'information du réseau Internet de Chine

Solutions existantes: IRR, BGPsec, RPKI

Les opérateurs de réseau utilisent des mécanismes fondés sur la confiance, tels que les protocoles pair-à-pair et le filtrage manuel des routes, pour réduire le risque de détournement BGP. Bien qu'efficaces dans une certaine mesure, ces solutions sont intrinsèquement limitées et reposent sur la supervision humaine et la coopération pour maintenir l'intégrité des routes. L'une de ces solutions élastiques consiste à filtrer en utilisant les informations disponibles dans le Registre de routage Internet (IRR). L'IRR est une base de données publique d'informations de routage fournie par les registres Internet régionaux (RIR) et des fournisseurs tiers. Cependant, cette solution présente des limites, car les tiers en jeu ne peuvent pas maintenir systématiquement les données.

Border Gateway Protocol Security (BGPsec) est une autre solution avancée qui est une extension sécurisée de BGP telle que définie dans la RFC 8205. Dans BGPsec, l'attribut AS_PATH est remplacé par le nouvel attribut BGPsec_Path, qui fournit un moyen de valider cryptographiquement les routes reçues des pairs.

Les solutions avancées reposent sur l'infrastructure de clé publique de ressource (RPKI) pour l'authentification cryptographique des informations de routage. Voir aussi: Association HUGUET (anciennement INDIA-01).

Quiz rapide

Lequel n'est pas une solution existante à la crise BGP ? Voir aussi: korea.

A. BGPsec Voir aussi: CAIX LLP IX d'Asie Centrale.

B. RPKI

C. AS

D. IRR

La réponse se trouve en bas de cet article.

Qu'est-ce que RPKI ?

Vous pouvez considérer RPKI comme un système de contrôle des passeports et des visas pour le trafic Internet. Les informations de routage sont comme la destination Internet ou le pays. Tout comme nous avons besoin d'un passeport et d'un visa valides pour entrer légalement dans un pays particulier, les routeurs Internet nécessitent un certificat de chiffrement valide et une autorisation d'origine de routage (ROA) délivrée par RPKI pour annoncer et vérifier les préfixes IP.

Le certificat cryptographique agit comme un passeport pour vérifier l'identité du détenteur de l'adresse IP, tandis que le ROA agit comme un visa pour autoriser l'origine légitime du préfixe IP. Sans le bon « passeport » (certificat chiffré) et le bon « visa » (ROA), les routeurs Internet ne peuvent pas annoncer en toute sécurité des routes (préfixes IP) vers des destinations spécifiques, empêchant ainsi le trafic non autorisé et garantissant que les paquets atteignent leur destination prévue de manière sûre et efficace.

Avec RPKI activé, les opérateurs de réseau et les routeurs agissent comme des agents de contrôle aux frontières vigilants, vérifiant la légitimité des avis de routage avant de les stocker et de les diffuser, empêchant ainsi le trafic non autorisé d'entrer ou de sortir d'un « pays » spécifique (préfixe IP) sur Internet.

À lire aussi: Qu'est-ce que le RIPE NCC ?

Comment RPKI fonctionne pour le registre Internet régional APNIC

Le système de délivrance de certificats de RPKI correspond à l'architecture d'allocation des ressources de numéros Internet, comme le montre la figure ci-dessus. Ce système autorise les ressources en émettant des certificats de ressources du sommet vers la base. Le contenu du certificat inclut la relation de liaison entre le préfixe d'adresse IP / le numéro AS et l'institution bénéficiaire, indiquant que le détenteur de la ressource a été légalement autorisé à utiliser cette partie des ressources de numéros.

RPKI fonctionne selon un modèle hiérarchique, dans lequel les registres Internet régionaux (RIR) servent d'autorités de premier niveau chargées de gérer les ressources de numéros Internet. Ces ressources comprennent les blocs d'adresses IP et les numéros de systèmes autonomes (ASN), qui sont des composants essentiels du routage Internet. Les RIR délivrent des certificats cryptographiques aux détenteurs de ressources, liant leurs allocations d'adresses IP à des clés cryptographiques. Ces certificats sont ensuite utilisés pour générer des autorisations d'origine de route (ROA), qui spécifient les origines légitimes des préfixes d'adresses IP.

Pourquoi RPKI est-il important ?

L'adoption de RPKI a apporté de nombreux avantages à l'écosystème Internet. RPKI fournit un mécanisme pour vérifier l'authenticité des annonces de route, ce qui peut prévenir le détournement BGP et les fuites de routes, et améliorer la sécurité et la stabilité des routes Internet. De plus, RPKI donne aux opérateurs de réseau le contrôle de leurs politiques de routage, garantissant que le trafic circule le long du chemin prévu et minimisant le risque de mauvaise configuration ou d'activité malveillante.

Avantages de RPKI
A. Beaucoup plus sûr que de vérifier manuellement la base de données Whois ou la base de données IRR.
B. L'origine sécurisée du préfixe ou l'origine-AS est la première étape pour prévenir de nombreuses attaques contre l'intégrité de BGP.
C. Les instructions/informations du dépositaire de ressources peuvent être vérifiées cryptographiquement (par exemple, signature de lettre d'autorité).

Q: Comment un routeur de bordure Internet peut-il se synchroniser avec un serveur pour la validation des routeurs RPKI ?

Existe-t-il des serveurs publics pour le consulter ?

« Ce qui se passe avec le dépôt, c'est qu'il y a un logiciel qui sert d'intermédiaire entre LACNIC et les routeurs. C'est le validateur RPKI, qui a fait l'objet d'un projet portuaire développé avec le Mexique, et il met à disposition des routeurs de bordure les informations validées cryptographiquement. La relation entre le routeur de bordure et un validateur doit être d'une confiance extrême, car la proximité et la sécurité entre les deux doivent être bonnes. Il n'est pas recommandé d'utiliser des validateurs pour vos routeurs, car il existe des validateurs publics, mais c'est pour voir à quoi ressemble le validateur, etc. Ce n'est pas pour que vous le connectiez à un routeur de bordure. » Gianina Pensky, responsable des services d'enregistrement, a répondu lors du webinaire LACNIC - Sécurité des réseaux avec RPKI.

Ainsi, RPKI représente un domaine de développement important pour la sécurité du routage Internet. En exploitant la puissance de la cryptographie, RPKI fournit une solution standardisée et évolutive aux défis persistants posés par les vulnérabilités BGP. Alors que nous continuons à faire face à un environnement numérique complexe, l'adoption de RPKI est une étape cruciale vers la construction d'une infrastructure Internet plus sécurisée, résiliente et fiable.

La bonne réponse est C.