Resumo

  • Uma Route Origin Authorization (ROA) é uma declaração assinada de que um sistema autônomo nomeado pode originar prefixos especificados. Ela não é uma transferência de propriedade, um comando para roteadores, uma garantia de que a rota é benigna ou uma prova de que o AS nomeado ainda tem direito sob uma locação privada.
  • Na maioria das locações, o locador permanece como o detentor direto do recurso e, portanto, está mais próximo da cadeia de certificação RPKI. O locatário opera a rede e sabe quais ASes de origem e rotas mais específicas são operacionalmente necessários. O upstream transporta ou filtra a rota. O RIR opera uma âncora de confiança ou um serviço de certificação pai. Esses são poderes diferentes.
  • O RPKI hospedado e delegado alteram a custódia e a execução, não o acordo comercial subjacente. O serviço hospedado coloca as operações de chave e a publicação com um RIR; o serviço delegado permite que o detentor opere uma CA e geralmente sua chave privada. Nenhum dos arranjos, por si só, concede direitos oportunos ao locatário ou o protege de uma exclusão contestada.
  • Toda locação deve anexar um cronograma de autorização nomeando os prefixos exatos, ASes de origem permitidos, comprimentos máximos, janelas de início e fim, prazo para alterações comuns, prazo de emergência, aprovadores, canais de autenticação e evidências a serem retidas. Uma promessa genérica de fornecer uma carta de autorização não é suficiente.
  • O tempo do contrato e o tempo do RPKI devem ser alinhados deliberadamente. Serviços hospedados podem renovar objetos assinados automaticamente, os caches atualizam em sua própria cadência e uma rota pode permanecer visível após o término comercial. Portanto, a expiração à meia-noite não é uma revogação técnica instantânea nem um motivo seguro para excluir a única ROA válida antes que o tráfego tenha migrado.
  • O acesso de emergência deve ser restrito e redundante. O locatário precisa de uma maneira de adicionar rapidamente uma origem de mitigação ou substituição pré-aprovada, enquanto o locador precisa de limites que impeçam a delegação aberta. Aprovação dupla, prefixos limitados, autoridade de emergência de curta duração, registros independentes e uma revisão pós-incidente podem atender a ambas as necessidades.
  • Uma disputa comercial não deve ser travada surpreendendo o sistema de roteamento global. Exceto por uma emergência de segurança ativa, a exclusão da ROA deve seguir um aviso, uma janela curta de continuidade, escalonamento independente e uma retirada coordenada da rota. A revogação eventual deve ser certa; o caminho para ela não deve transformar clientes em alavanca.

A locação divide o uso da atestação

A pergunta incômoda em uma locação de IPv4 não é quem possui o roteador. É quem pode fazer a declaração criptográfica na qual outros roteadores podem confiar.

O locatário pode configurar o AS de origem, anunciar o prefixo, atender clientes, responder a relatórios de abuso e pagar a conta de trânsito. No entanto, se o prefixo permanecer certificado para o locador, o locatário pode não conseguir criar, alterar ou excluir a ROA que descreve seu próprio anúncio ativo. O locador pode ser economicamente passivo e tecnicamente decisivo. Uma conta de portal esquecida ou um signatário indisponível pode transformar uma alteração de roteamento rotineira em um risco de interrupção.

Isso não torna a locação defeituosa. Significa que uma locação abrange dois sistemas de autoridade. O direito contratual determina o que uma parte prometeu à outra. O RPKI determina se uma autorização assinada pode ser validada através de uma cadeia enraizada na hierarquia de recursos numéricos. O BGP determina quais caminhos as redes realmente anunciam e selecionam. Os contratos de trânsito determinam o que um upstream aceitará. Nenhum desses sistemas lê automaticamente os outros.

RFC 9582define uma ROA como um objeto assinado através do qual um detentor de bloco de endereços autoriza um AS a originar rotas para um ou mais prefixos. Sua seção de segurança é incomumente útil para governança: o RPKI fornece autorização, em vez de autenticação de identidade ou não repúdio. O objeto prova que um caminho de certificação válido respaldava a declaração quando as partes confiáveis a processaram. Ele não publica a locação, preço, cliente, usuário beneficiário, motivo da rota ou prazo no acordo comercial.

Essa distinção invalida dois atalhos comuns. O primeiro diz que a parte capaz de criar a ROA deve ser a proprietária econômica. Isso não se segue. O segundo diz que a parte nomeada como origem na ROA deve controlar os direitos de endereço. Isso também não se segue. Um detentor pode autorizar o AS de um cliente, um upstream, uma rede em nuvem ou um provedor de mitigação sem transferir o recurso. O objeto assinado é deliberadamente mais restrito do que o relacionamento circundante.

A pergunta certa, portanto, não é simplesmente "Quem controla a ROA?" É um conjunto de perguntas: Quem pode solicitar uma alteração? Quem decide que a solicitação está dentro da locação? Quem opera o sistema de assinatura? Quem pode impedir uma alteração insegura? Quem pode agir quando a parte principal está inacessível? Quem arca com a perda se uma alteração prometida atrasar? Quem deve remover a autorização quando o direito de rotear termina?

Uma locação que responde apenas à primeira pergunta deixa o resto para improvisação.

Quatro atores detêm quatro tipos diferentes de poder

O locador, o locatário, o upstream e a CA do RIR são frequentemente descritos como se fossem pontos em uma única cadeia de comando. São melhor compreendidos como quatro atores com poderes que se cruzam, mas não são idênticos.

O locador geralmente retém o relacionamento registrado do qual deriva a certificação de recursos. Em um serviço RPKI hospedado, um usuário autorizado da organização do locador pode criar configurações de ROA através da interface do RIR. Em um arranjo delegado, o locador pode operar sua própria CA e manter a chave privada correspondente. A capacidade decisiva do locador é a atestação: ele pode fazer com que uma declaração sobre um prefixo e AS de origem entre ou saia do conjunto validado do RPKI.

O locatário tem conhecimento operacional. Ele conhece a origem pretendida, o design do upstream, o estado de migração de clientes, as rotas mais específicas de engenharia de tráfego, os arranjos de mitigação e a data em que uma nova rota deve funcionar. Sua capacidade decisiva é o uso: ele ou seus provedores podem configurar e originar anúncios BGP. Essa capacidade pode existir mesmo quando a rota se torna Inválida pelo RPKI, porque o RPKI não desliga o BGP. A consequência prática depende de quais redes aplicam a validação de origem de rota e como.

O upstream tem poder de aceitação e propagação. Ele pode exigir uma carta de autorização, objeto IRR, ROA correspondente, prova contratual ou alguma combinação. Ele pode construir filtros de prefixo de cliente a partir de seus próprios registros, um IRR, payloads validados pelo RPKI ou revisão manual. Ele pode recusar uma rota de outra forma válida porque o relacionamento com o cliente não é verificado, ou transportar uma rota Não Encontrada de acordo com sua política. Uma ROA válida é uma evidência relevante, não um comando para o upstream.

A CA do RIR está situada na hierarquia de certificação.RFC 6480descreve uma arquitetura alinhada com a alocação de recursos numéricos. Os serviços do RIR emitem ou mantêm o certificado de recurso pai, hospedam a assinatura para muitos detentores, publicam material e conectam as alterações nos recursos certificados à hierarquia. O RIR não é parte na maioria das locações e normalmente não conhece seus termos comerciais completos. Seu sistema pode autenticar a conta do detentor e validar a cobertura de recursos sem saber se uma fatura do locatário está em disputa.

Esses poderes não devem ser reduzidos. A capacidade do locador de excluir uma ROA não significa que ele deva controlar o roteador do locatário. A capacidade do locatário de enviar um anúncio não significa que ele deva ter poder de assinatura irrestrito sobre o agregado do locador. O filtro de um upstream não resolve a locação. O certificado de um RIR não julga o uso benéfico.

A boa governança começa admitindo que nenhum ator único vê todo o relacionamento.

Uma ROA autoriza uma origem, não uma rota em todas as suas dimensões

A estreiteza da ROA é uma força, mas torna-se perigosa quando os contratos a descrevem de forma muito ampla.

Uma ROA identifica um AS de origem e um ou mais prefixos. Ela pode incluir um comprimento máximo que permite determinados anúncios mais específicos. Se vários ASes forem autorizados a originar o mesmo prefixo, ROAs separadas serão necessárias. O objeto não informa qual upstream pode transportar a rota, qual caminho de AS é aceitável, se a origem tem um acordo de serviço atual, qual tráfego de cliente pertence aos endereços ou se um anúncio é geograficamente esperado.

É por isso que "locação compatível com RPKI" pode esconder mais do que revela. Um locador pode criar uma ROA tecnicamente válida para o ASN da parte comercial errada. Um locatário pode continuar anunciando através da origem autorizada após o término de um contrato de serviço. Um AS autorizado pode vazar acidentalmente ou anunciar deliberadamente uma rota mais específica permitida por um comprimento máximo excessivamente amplo. Uma rota pode ser Válida pelo RPKI e ainda assim estar operacionalmente equivocada ou abusiva.

RFC 6483alerta que uma ROA pode afetar outros anúncios cobertos pelo mesmo espaço de endereçamento: rotas de origens não listadas, ou rotas mais específicas além do comprimento permitido, podem se tornar Inválidas. Ele recomenda contabilizar todas as origens legitimamente autorizadas e as rotas mais específicas relevantes.RFC 7115da mesma forma trata a validação de origem como uma entrada operacional, em vez de um veredicto universal de seleção de rota.

Para uma locação, isso significa que o cronograma não pode apenas dizer "O locador criará uma ROA." Ele deve declarar os pares exatos de prefixo-origem e explicar a política de rotas mais específicas. Se um /20 for anunciado apenas como um /20 do ASN do locatário, um comprimento máximo desnecessariamente permissivo não deve ser concedido por conveniência. Se o locatário precisar de anúncios /24 de duas origens durante a migração, ambas as origens e o período temporário devem ser explícitos.

O papel do upstream permanece separado. Asações para operadores de rede do MANRSpedem que os operadores garantam a exatidão de seus próprios anúncios e dos anúncios de clientes, mantenham contatos utilizáveis e publiquem informações que outros possam validar. Um provedor de trânsito que verifica apenas se uma ROA existe não está concluindo essa tarefa. Ele ainda precisa saber que seu cliente é a parte autorizada a pedir-lhe que transporte a rota.

A locação, portanto, deve prometer vários fatos coordenados, não um status mágico: permissão comercial do locador, instrução operacional do locatário, autorização de origem no RPKI, informações de roteamento precisas e aceitação pelo upstream pretendido.

O RPKI hospedado concentra a execução na conta do detentor

O RPKI hospedado é atraente porque remove a maior parte da administração criptográfica do detentor do recurso. Essa conveniência também esclarece onde reside a dependência da locação.

Oguia da CA hospedada da RIPE NCCafirma que o serviço hospedado assina, publica e renova objetos ROA a partir de configurações gerenciadas por uma conta autorizada. O usuário gerencia as informações de origem pretendida e prefixo; o serviço cuida das chaves, renovação de objetos e publicação. Adocumentação do RPKI hospedado da ARINsimilarmente coloca a CA e a assinatura na ARIN e diz que as organizações downstream devem fazer com que seu provedor upstream envie ROAs em seu nome onde não podem participar diretamente.

Para um locador, o serviço hospedado pode reduzir falhas operacionais. Não há um repositório de CA privada para o locatário monitorar e nenhuma chave de assinatura para colocar no laptop de um funcionário. Para um locatário, no entanto, a questão-chave se torna a governança da conta. Quais indivíduos na organização do locador podem aprovar uma solicitação? Há cobertura 24 horas? O locatário pode ter uma função restrita ou cada alteração precisa ser transcrita pelo detentor? O que acontece se a conta do locador for bloqueada durante uma verificação de identidade, mudança corporativa ou disputa?

O acesso ao portal não deve ser compartilhado casualmente. Dar ao locatário as credenciais gerais do locador pode expor prefixos não relacionados, outros clientes e ações destrutivas. Isso também obscurece a atribuição: o locador não pode saber mais tarde se foi seu funcionário, contratado ou cliente quem fez a alteração. Mesmo que uma interface suporte múltiplos usuários, a autorização deve ser limitada à organização e às tarefas que cada pessoa está autorizada a realizar.

O modelo hospedado mais seguro trata o locatário como um solicitante autenticado e o locador como um aprovador limitado. As solicitações usam um canal definido, identificam a locação e os prefixos, incluem a origem proposta e o comprimento máximo, e recebem um registro de transação. As alterações rotineiras têm um prazo de serviço. As alterações de emergência usam um canal mais rápido com autenticação separada. Duas pessoas no locador devem ser capazes de agir, e o locatário deve ter pelo menos dois solicitantes aprovados.

A automação pode reduzir atrasos, mas deve fazer cumprir o cronograma de autorização, em vez de contorná-lo. Uma solicitação para um prefixo listado, ASN listado e comprimento máximo permitido pode ser elegível para aprovação rápida. Uma solicitação para autorizar um ASN desconhecido ou uma faixa mais ampla de rotas mais específicas deve parar para revisão humana. A distinção está entre automatizar uma promessa conhecida e ampliá-la silenciosamente.

O serviço hospedado resolve a operação de chaves. Ele não resolve a delegação comercial a menos que o contrato e as funções da conta o façam.

O RPKI delegado move a chave, não o relacionamento pai

O RPKI delegado pode dar ao detentor de recursos mais autonomia técnica. Também pode criar a crença equivocada de que o detentor escapou de toda dependência upstream.

Acomparação da RIPE NCC entre serviço hospedado e delegadodiz que um operador delegado controla seu certificado de recurso e a chave privada correspondente, e pode escolher onde publicar. Asopções de implantação da ARINafirmam que um detentor direto pode operar sua própria CA, assinar ROAs e, no modelo delegado, emitir certificados de recurso para clientes. A APNIC também identifica o modo autohospedado como RPKI delegado em seumaterial sobre certificação de recursos.

Essa arquitetura pode suportar uma divisão mais direta. Um locador sofisticado pode executar uma CA pai e emitir um certificado de recurso subordinado limitado aos prefixos do locatário. O locatário pode então assinar objetos dentro desse conjunto delimitado sem receber poder sobre os outros recursos do locador. No final da locação, o locador pode revogar ou permitir que o certificado subordinado expire de acordo com a sequência acordada.

A aparente elegância traz consigo deveres operacionais. Alguém deve proteger a chave privada, manter a CA, publicar objetos atuais, gerenciar manifestos e informações de revogação, monitorar a disponibilidade, rotacionar chaves e preservar o acesso de recuperação. Apolítica da RIPE NCC sobre CAs delegadas persistentemente não funcionaisilustra a consequência da falha prolongada: após uma incapacidade prolongada de descobrir e validar material atual, o pai pode revogar o certificado de recurso delegado. A delegação é controle acoplado à manutenção, não uma transferência única.

O relacionamento pai também permanece. Um certificado delegado existe dentro de uma hierarquia. Se os recursos certificados mudarem ou o certificado pai for revogado, a autoridade subordinada será afetada. ARFC 8211examina ações adversas ou equivocadas por CAs e gerentes de repositório precisamente porque a posse local de uma chave não elimina as dependências hierárquicas e de publicação.

Para muitos locatários, operar uma CA seria desproporcional. Para grandes operadores com mudanças frequentes de origem, múltiplos upstreams ou necessidades estritas de continuidade, a delegação limitada pode valer a pena. A escolha deve depender da frequência de mudanças, tolerância a interrupções, capacidade da equipe e do design do portfólio do locador, não do prestígio de possuir uma chave.

Mais importante, o RPKI delegado não deve se tornar uma concessão permanente informal. Os recursos subordinados, o prazo do certificado, a regra de renovação, os eventos de revogação, os deveres de repositório, os contatos de emergência e as evidências de destruição ou transferência na saída pertencem todos à locação. Mover a chave privada para mais perto do locatário reduz um atraso, mas aumenta a importância do encerramento disciplinado.

O cronograma de autorização é o instrumento comercial ausente

O acordo principal pode declarar o negócio econômico. Um cronograma de autorização separado deve declarar o acordo de segurança de roteamento em termos que um engenheiro e um advogado possam ambos testar.

O cronograma começa com CIDRs exatos. Em seguida, lista cada AS de origem permitido, a entidade jurídica que controla esse AS, o relacionamento de trânsito ou hospedagem pretendido e o comprimento de prefixo permitido para cada anúncio. Se várias origens forem temporárias, o cronograma fornece datas de início e remoção. Se o locatário puder usar um provedor de mitigação, o ASN do provedor pode ser pré-aprovado sem ser ativado até um incidente.

Em seguida vêm as funções. Nomeie o responsável pelo serviço do locador e o aprovador reserva, o líder de rede do locatário e o solicitante reserva, e os contatos em cada upstream pretendido. Use endereços de função e canais autenticados, não apenas funcionários nomeados. Funcionários saem; a autorização deve sobreviver sem deixar contas pessoais obsoletas para trás.

Em seguida, o cronograma define os prazos. Uma solicitação normal pode exigir conclusão dentro de um dia útil. Uma migração planejada pode exigir aviso prévio de cinco ou dez dias úteis. Uma interrupção grave pode exigir confirmação em quinze minutos e uma mudança limitada em sessenta minutos. Os números precisos dependem do serviço, mas o silêncio não é um nível de serviço.

O registro de alteração deve incluir a hora da solicitação, o solicitante autenticado, o prefixo afetado, a origem antiga e nova, o comprimento máximo, o motivo comercial, a aprovação, a observação da publicação e a observação da validação. Isso não é burocracia por si só. Quando uma rota se torna Inválida, as partes precisam saber se a ROA nunca foi alterada, foi alterada mas ainda não está visível, foi alterada incorretamente ou tornada ineficaz por outra ROA abrangente.

Por fim, declare quais solicitações o locador pode rejeitar. Uma solicitação fora do prefixo locado, um ASN não controlado por um operador aprovado, um comprimento máximo mais amplo do que o design de roteamento acordado, ou uma alteração que invalidaria as rotas de outro cliente podem exigir uma emenda em vez de execução imediata. Uma rejeição deve ser fundamentada e datada, não uma invocação vaga de segurança.

O cronograma deve ser versionado com assinaturas ou aceitação autenticada equivalente. O conjunto de ROAs ativas deve ser comparado com ele na ativação, após cada alteração aprovada, na revisão periódica e antes do término. O acordo então tem uma resposta mensurável ao controle: o locador controla a certificação dentro de um mandato pré-acordado; o locatário controla as solicitações operacionais dentro do mesmo mandato; nenhum dos dois pode aumentar silenciosamente o risco da outra parte.

O tempo do contrato e o tempo do RPKI são relógios diferentes

As locações usam datas porque as datas são legíveis para tribunais e equipes financeiras. A segurança de roteamento opera através de publicação e recuperação, que raramente compartilham o mesmo limite.

Uma locação pode começar às 00:00 UTC na segunda-feira. A ROA pode ser criada antes para que os caches das partes confiáveis possam recuperá-la antes do primeiro anúncio. Um serviço hospedado pode renovar o objeto assinado automaticamente enquanto sua configuração permanecer ativa. Se a locação terminar, o direito comercial pode expirar mesmo que a última autorização publicada permaneça válida e visível. Por outro lado, excluir a configuração às 00:00 não prova que todas as partes confiáveis removeram o payload validado correspondente às 00:01.

O contrato, portanto, precisa de três momentos em vez de um. O tempo de autorização pronta é quando a rota pretendida tem uma autorização válida visível e o upstream confirmou seus filtros. O tempo de uso do serviço é quando o locatário pode anunciar e colocar tráfego de cliente no prefixo. O tempo de fim da autorização é quando a origem antiga não deve mais ser representada como permitida no RPKI após o tráfego ter sido retirado.

Esses momentos podem se sobrepor sem contradição. Uma ROA pode ser preparada antes do uso comercial, desde que o locatário esteja proibido de anunciar antecipadamente. Ela pode permanecer brevemente durante uma retirada ordenada, desde que o locatário esteja proibido de adicionar novos clientes e deva reduzir o tráfego. A autorização residual é uma capacidade de transição controlada, não uma extensão dos aspectos econômicos da locação.

Isso também explica por que a expiração da ROA é um substituto pobre para o encerramento. Um longo tempo de vida de certificado ou objeto pode ultrapassar a locação. Um tempo de vida curto pode criar risco de renovação evitável durante o prazo. Sistemas hospedados podem renovar bem antes da expiração, enquanto sistemas delegados dependem da operação local. O evento governante deve ser uma instrução explícita de fim, apoiada por observação, em vez da esperança de que um temporizador coincida com o acordo.

O descompasso inverso também importa. Se um locador excluir a ROA antes que os endereços de substituição do locatário ou a origem alternativa estejam prontos, as redes que rejeitam rotas Inválidas podem parar de transportar tráfego. Os clientes sofrem a interrupção mesmo que o locador esteja contratualmente correto sobre a data final. Se o locador nunca a excluir, o ex-locatário retém uma oportunidade mais fraca, mas real, de originar uma rota que alguns validadores considerarão autorizada.

O alinhamento temporal, portanto, não é leniência. É a disciplina de fazer a autorização aparecer antes da dependência e desaparecer depois da dependência, com a menor sobreposição insegura que o serviço puder tolerar.

Os direitos de alteração de emergência devem ser projetados antes da emergência

O teste mais revelador da governança da ROA não é uma migração planejada. É uma interrupção no sábado, quando a origem aprovada não pode transportar tráfego e o único engenheiro que normalmente assina alterações está dormindo ou inacessível.

Uma emergência pode exigir um novo provedor de trânsito, um ASN de mitigação de DDoS, um data center de backup, uma origem de substituição após uma falha de roteador, ou um anúncio mais específico temporário. Também pode envolver credenciais RPKI comprometidas ou uma autorização acidental que está tornando rotas legítimas Inválidas. A parte que observa o incidente pode ser o locatário, o upstream, o locador ou uma rede externa.

A locação deve pré-autorizar categorias, e não ações ilimitadas. Uma lista de ASNs de reserva pode ser verificada na assinatura. Um comprimento máximo de prefixo de emergência pode ser definido. O locatário pode ter permissão para ativar apenas os prefixos que loca e apenas por um curto período. Qualquer alteração mais ampla requer um aprovador adicional. Isso dá velocidade ao operador sem entregar um cheque em branco permanente.

A autenticação deve sobreviver ao mesmo incidente. Se as solicitações comuns dependem de um domínio de e-mail hospedado atrás do prefixo afetado, o canal pode falhar quando necessário. Use pelo menos um método fora de banda e mantenha contatos em ambas as organizações. O locador deve exigir um código de solicitação, função nomeada, retorno de chamada ou aprovação criptográfica apropriada ao risco das partes. O objetivo é resistir à falsificação de identidade sem transformar a verificação de identidade em uma barreira de várias horas.

A própria alteração deve ser reversível. Adicione a origem estritamente necessária; não amplie ROAs não relacionadas. Defina um prazo de expiração ou revisão para a autorização de emergência. Confirme que a nova rota é observada e aceita antes de retirar o caminho antigo. Após o incidente, remova a autoridade temporária e reconcilie o conjunto ativo com o cronograma.

A responsabilidade deve seguir o atraso controlável. Se o locatário não manteve contatos aprovados ou exigiu um ASN não listado sem evidência, deve arcar com essa consequência. Se o locador perdeu um prazo de emergência acordado apesar de uma solicitação válida, um crédito de taxa por si só pode não refletir a perda do cliente; o acordo pode precisar de um limite de indenização, direito de rescisão ou direito de mudar para delegação limitada. Se o upstream rejeitou uma rota apesar de ter recebido todas as evidências exigidas, seus termos de serviço são tratados separadamente.

Os direitos de emergência devem ser exercidos raramente. Seu valor está em cada parte conhecer o caminho sob pressão, não em o locador se tornar uma mesa de roteamento 24 horas para mudanças rotineiras.

O comprimento máximo é uma decisão de risco comercial

O campo de aparência mais técnica em uma ROA pode ter uma grande consequência comercial.maxLengthdetermina quão específico pode ser um anúncio que o AS autorizado pode originar, mantendo-se consistente com essa ROA.

Uma autorização excessivamente estreita pode tornar Inválida uma rota legítima de engenharia de tráfego ou mitigação. Uma excessivamente ampla pode permitir anúncios mais específicos que nunca foram necessários para a locação. A decisão afeta a contenção de falhas, a prática do upstream e a gama de rotas que os validadores podem aceitar como autorizadas.

O erro fácil de redação é definir o máximo como /24 para cada agregado IPv4 locado porque /24 é comumente aceito na tabela global. Isso pode ser operacionalmente conveniente, mas delega mais autoridade do que um locatário que anuncia apenas um agregado precisa. Se um /19 é sempre originado como /19, um máximo /24 cria espaço para 32 rotas mais específicas separadas sem explicar o porquê. ARFC 9582diz que o campo deve ser omitido quando igual ao comprimento do prefixo e define como ele limita a autorização de rotas mais específicas.

O erro oposto é autorizar apenas o agregado quando o design documentado do locatário depende de rotas mais específicas. Um provedor de mitigação de emergência pode anunciar /24s. Uma migração entre duas origens pode dividir um agregado temporariamente. Se o contrato ignorar esse design, o locatário solicitará uma alteração apressada no pior momento.

O cronograma de autorização deve corresponder ao menor conjunto de rotas esperadas, não ao conjunto tecnicamente possível mais amplo. Onde vários /24s são esperados de origens diferentes, ROAs explícitas podem tornar a divisão visível. Onde um máximo mais amplo temporário é justificado, ele deve ter uma data de término e um motivo.

Isso também é uma questão de portfólio para os locadores. Uma ROA abrangente pode interagir com locações mais específicas abaixo dela. Antes de aprovar uma alteração, o locador deve testar se a rota válida de outro cliente se tornaria Inválida devido a uma autorização abrangente com origem diferente ou máximo restritivo. O inventário do locador, portanto, precisa entender as sobreposições, não apenas as linhas de locação.

O princípio comercial é a menor autoridade necessária. O locatário recebe permissão criptográfica suficiente para executar a rede acordada, incluindo resiliência realista. O locador não retém um veto artificial sobre as operações documentadas, mas também não publica uma permissão mais ampla do que o acordado.

O upstream é um controle independente, não um mensageiro

Os provedores de trânsito são frequentemente tratados como o ponto de entrega final para uma carta de autorização. Em uma locação madura, eles devem participar mais cedo.

Antes da ativação, o upstream pretendido deve confirmar os prefixos exatos e o ASN de origem que aceitará, as evidências que exige, o tamanho mínimo da rota, o tratamento de rotas mais específicas, se constrói filtros a partir de dados IRR ou RPKI e com que rapidez esses filtros são atualizados. Essa confirmação deve acompanhar o cronograma de ROA porque uma autorização tecnicamente correta tem pouco valor operacional se o filtro de cliente do upstream ainda rejeitar a rota.

O upstream deve autenticar seu cliente de forma independente. Uma ROA válida pode mostrar que uma cadeia de certificação autoriza o ASN de origem para um prefixo. Ela não prova que a pessoa que abre um ticket de trânsito controla esse ASN ou que o locador aprovou a conta comercial. Uma carta de autorização pode conectar as partes, mas as cartas são fáceis de encaminhar e difíceis de revogar globalmente. Registros de conta, contatos verificados e confirmação direta do locador tornam a evidência mais forte.

Durante a locação, o upstream não deve aceitar uma mudança de origem apenas porque uma nova ROA apareceu. A mudança pode ser acidental, maliciosa ou destinada a um provedor diferente. Nem deve ignorar um novo estado Inválido. Deve entrar em contato com o locatário e o locador através de canais conhecidos, comparar a rota com a lista de prefixos acordada e determinar se a rota ou a autorização está errada.

No término, o upstream tem um papel decisivo em tornar a revogação real. O locador pode remover uma ROA, mas o ex-locatário ainda pode enviar o anúncio BGP. O upstream pode remover a permissão de prefixo do cliente e rejeitar a rota na fronteira direta. Essa ação local é frequentemente mais rápida e mais certa do que esperar que todas as redes apliquem dados de validação atualizados.

Essa divisão é saudável. O RPKI fornece autorização de origem verificável globalmente. O upstream impõe o relacionamento com o cliente mais próximo da fonte. A locação conecta os dois. Nenhum deve ser solicitado a carregar todo o fardo.

Um upstream que suporta prefixos locados pode publicar seus requisitos de evidência e rota de contato de emergência. A previsibilidade facilita a locação segura. A revisão secreta e inconsistente empurra os operadores para tickets de última hora e exceções informais, o que enfraquece tanto a segurança quanto a responsabilização.

As disputas precisam de isolamento do tráfego de clientes

A cláusula mais difícil é o que acontece quando o locador e o locatário discordam sobre dinheiro, violação, abuso ou renovação enquanto o prefixo ainda transporta serviços ativos.

O locador pode temer que um período de continuidade recompense o não pagamento ou permita danos. O locatário pode temer que o locador use a exclusão da ROA como um interruptor remoto de desligamento. Ambas as preocupações são legítimas. A resposta não pode ser uma autorização permanente, mas também não deve ser uma emboscada criptográfica sem aviso.

Comece distinguindo os eventos. A expiração programada e a não renovação comum devem seguir o plano de saída completo. Uma fatura contestada deve desencadear um aviso e um curto período de cura, a menos que o acordo torne o pagamento imediato e crítico. Evidências críveis de abuso ativo podem justificar controles mais rígidos, mas remover uma ROA não necessariamente interrompe a rota abusiva; o upstream direto e o equipamento do locatário continuam sendo pontos de intervenção mais imediatos. Uma chave de assinatura comprometida requer ação de segurança mesmo que o relacionamento comercial seja sólido.

Durante uma disputa genuína, congele a expansão discricionária. O locatário não deve adicionar clientes, solicitar novas origens ou ampliar comprimentos máximos. O locador deve preservar as últimas autorizações seguras conhecidas durante o período de continuidade limitado. Ambas as partes devem notificar o upstream de que nenhuma alteração é válida sem confirmação dupla, exceto uma emergência documentada necessária para proteger o tráfego.

Um contato de escalonamento independente pode determinar se uma solicitação se encaixa no cronograma existente sem decidir todo o litígio. A questão é restrita: a ação solicitada preserva um serviço já autorizado ou amplia direitos? Essa determinação limitada pode manter o roteamento estável enquanto as reivindicações comerciais prosseguem em outro lugar.

O acordo também deve definir um ponto final rígido. A continuidade não pode se tornar ocupação indefinida. No final do período de cura ou migração, o locatário deve retirar as rotas, o upstream deve remover os filtros e o locador deve remover a ROA. O fracasso de qualquer lado produz evidências e recursos especificados. Se a segurança do cliente exigir uma ordem judicial ou alívio de emergência, as partes sabem quais atos devem ser contidos.

Os registros são os que mais importam aqui. Uma parte que alega exclusão indevida deve poder mostrar a autorização acordada, a solicitação, a confirmação, o horário da alteração e o impacto na validação. Um locador que alega uso continuado deve poder mostrar observações de rota após o prazo de retirada. O isolamento de disputas funciona apenas quando os fatos podem ser reconstruídos sem confiar na caixa de entrada de um lado.

A norma governante é simples: não torne usuários da Internet não relacionados o mecanismo de execução de uma dívida privada, e não use a dependência deles para tornar uma locação perpétua.

A revogação é necessária, mas a exclusão não é um remédio completo

Uma locação deve terminar com o ex-locatário incapaz de confiar na autorização do locador. Isso requer revogação ou remoção na camada apropriada. Também requer mais do que a revogação.

Quando o tempo de fim da autorização chega, o locador deve remover ou modificar a configuração relevante da ROA. Em arranjos delegados, pode revogar o certificado subordinado limitado após confirmar que nenhuma autorização continuada é necessária. As partes devem observar os payloads validados resultantes de mais de um ponto de observação independente. Uma mensagem de sucesso do portal é evidência de um ato submetido, não prova de que o estado público convergiu.

Ao mesmo tempo, o locatário deve retirar a rota BGP e seus upstreams devem remover a permissão do cliente. Objetos de rota IRR que ainda nomeiam a origem antiga devem ser excluídos ou atualizados. O DNS reverso e os contatos públicos não devem mais apontar para um operador anterior onde isso desviaria relatórios operacionais ou de abuso. Esses sistemas têm tempos de atualização e mantenedores diferentes, portanto, um único carimbo de data/hora não pode provar a saída completa.

A exclusão também pode ter efeitos colaterais. Uma ROA pode cobrir vários prefixos, e um certificado delegado pode conter recursos além de uma locação se o locador o projetou mal. O operador deve identificar o objeto ou autorização exata a ser alterada. "Revogue o RPKI do cliente" não é uma instrução segura a menos que o limite da certificação corresponda ao limite do cliente.

O risco residual corre nos dois sentidos. Se a ROA permanecer, o ex-locatário retém uma vantagem de validação se continuar anunciando. Se a ROA desaparecer enquanto uma rota obsoleta permanece, a rota pode se tornar Inválida e ser rejeitada de forma desigual, criando alcançabilidade parcial em vez de silêncio universal. Se nenhuma ROA abrangente permanecer, a rota pode se tornar Não Encontrada e continuar a se propagar sob muitas políticas. Portanto, o estado do RPKI não é um substituto confiável para a retirada na origem.

Um registro de conclusão deve declarar: rota retirada pela origem antiga; filtro do upstream removido; ROA antiga ausente ou substituída; nenhuma autorização abrangente indesejada permanece; certificado delegado encerrado quando aplicável; registros IRR reconciliados; e monitoramento continuado por um período de observação definido. As exceções devem ser nomeadas em vez de arredondadas para "concluído".

A revogação protege o locador e o próximo usuário. A retirada coordenada protege os clientes atuais. Uma saída responsável faz ambos.

O RIR deve autenticar a autoridade de certificação, não decidir a locação

Os RIRs ocupam uma posição sensível porque o serviço hospedado pode torná-los o local onde uma alteração contestada é executada. Isso não significa que devam se tornar tribunais para cada locação de IPv4.

O RIR tem um interesse legítimo em autenticar a organização com direito de usar seu serviço de certificação, proteger contas, manter a hierarquia e responder a comprometimentos comprovados de credenciais. Pode precisar alterar recursos certificados após uma transferência, devolução ou alteração de registro. A documentação hospedada da RIPE NCC observa que os certificados de recurso são atualizados conforme os recursos se movem, e as ROAs publicadas são ajustadas quando os recursos são removidos. Essas são consequências da hierarquia de certificação.

Uma disputa de locação privada é diferente. O RIR geralmente não possui o contrato, histórico de pagamento, fatos de migração de clientes e evidências da lei aplicável necessários para decidir qual parte está em violação. Se aceitar instruções não fundamentadas de um locatário, poderá deslocar a autoridade do detentor. Se tratar cada instrução do detentor como conclusiva, apesar de uma ordem judicial ou comprometimento comprovado da conta, poderá amplificar o dano. A resposta é um papel restrito com processo claro.

O RIR pode preservar registros, autenticar atores da conta, publicar o status do serviço, fornecer canais de emergência documentados para incidentes de segurança e cumprir ordens legais válidas. Pode tornar as funções da conta suficientemente granulares para que um detentor não precise compartilhar credenciais amplas. Pode explicar os efeitos técnicos das escolhas hospedadas e delegadas. Deve ter cautela ao converter políticas ambíguas de locação em controle discricionário sobre rotas ativas.

Essa contenção é consistente com o significado limitado da ROA. O serviço de certificação verifica a autoridade dentro da hierarquia de recursos numéricos. Ele não certifica cada razão privada para exercer essa autoridade. A obrigação comercial permanece executável entre as partes e, quando necessário, através de tribunais ou mecanismos de disputa acordados.

A camada de registro ainda pode melhorar a locação sem reconhecer uma nova categoria de propriedade. Pode suportar usuários com escopo, histórico de alterações legível por máquina, notificações para múltiplos contatos, ações destrutivas atrasadas quando seguro, e evidências exportáveis de configurações atuais e anteriores. Essas ferramentas reduzem a dependência de um único titular de conta, deixando o acordo legal fora da CA.

O objetivo da política deve ser a execução previsível, não a aprovação moral de cada locação. Um sistema seguro pode distinguir a pessoa tecnicamente autorizada a assinar da pessoa contratualmente autorizada a solicitar, sem fingir que são sempre a mesma pessoa.

O controle tem um preço econômico

O controle da ROA é frequentemente incluído no preço da locação como se fosse uma tarefa administrativa gratuita. É um serviço de continuidade separado.

Um locador que promete alterações rápidas deve manter equipe treinada, credenciais protegidas, monitoramento, aprovadores reserva e cobertura de incidentes. Um modelo delegado requer operação da CA e confiabilidade de publicação. Um locatário que precisa de mudanças frequentes de origem impõe mais custo e cria mais oportunidade de erro do que um locatário com um ASN estável. A precificação deve tornar essas diferenças visíveis.

A alternativa é uma falsa economia. Uma locação de baixo custo com resposta de cinco dias para uma alteração de ROA de emergência pode ser inutilizável para uma rede com compromissos rígidos de disponibilidade. Um locatário pode então compartilhar credenciais informalmente, pedir exceções ao upstream ou manter uma autorização excessivamente ampla para evitar atrasos futuros. Cada atalho converte um requisito de serviço não precificado em risco de segurança.

A economia mais ampla da identidade de rede aguça o ponto. O artigo de Lu Heng sobreidentidade de rede e continuidade do clienteargumenta que um endereço pode se incorporar em listas de permissão de clientes, regras de parceiros, APIs e sistemas de conformidade. Uma vez que isso acontece, uma alteração de ROA malsucedida não é apenas um inconveniente de roteamento. Ela pode interromper uma identidade empresarial na qual as partes externas já confiam.

Sua discussão sobrelocação gerenciada de IPv4 e risco de registrofaz um ponto de mercado relacionado: obter endereços é apenas a transação visível; a operabilidade contínua depende de como os riscos de registro, roteamento e ciclo de vida são gerenciados. Uma análise neutra não precisa aceitar todas as conclusões institucionais desse argumento para reconhecer o fato operacional. A parte que vende continuidade deve descrever e precificar os atos que a continuidade exige.

Isso pode produzir níveis de serviço. Uma locação básica pode permitir uma origem estável e alterações em horário comercial. Uma locação resiliente pode incluir duas origens, mitigação pré-aprovada, resposta 24 horas e reconciliação periódica. Um locatário com sua própria CA capaz pode escolher a delegação limitada e aceitar mais deveres. Níveis transparentes são melhores do que fingir que toda locação inclui administração RPKI instantânea e ilimitada.

O controle também deve afetar os recursos. Se o locador cobrar por cobertura de emergência e não a fornecer, a consequência deve ser significativa. Se o locatário escolher um nível mais lento e depois exigir ação instantânea, não se deve tratar o locador como tendo prometido o que não vendeu.

O mercado se torna mais seguro quando a dependência criptográfica é nomeada como parte do produto, em vez de escondida em "suporte".

Uma alocação prática de direitos

Não há um arranjo universal, mas um padrão defensável pode ser declarado claramente.

O locador retém o controle final do relacionamento de certificação de recursos e pode recusar alterações fora do escopo locado. Deve manter pelo menos dois operadores autorizados, proteger credenciais, criar as ROAs iniciais antes da ativação, cumprir os tempos definidos para alterações normais e de emergência, dar aviso antes de ação destrutiva, exceto em uma emergência de segurança genuína, e remover a autorização após a saída verificada.

O locatário controla seu design de rede dentro do cronograma. Deve identificar e comprovar o controle de cada ASN de origem, fornecer planos de rota precisos, manter dois solicitantes autenticados, notificar o locador antes das alterações planejadas, evitar anúncios fora da autorização, monitorar o estado do RPKI, retirar prontamente no término e reter evidências do encerramento do upstream.

O upstream verifica independentemente o relacionamento cliente-prefixo, prepara filtros antes da ativação, monitora discrepâncias, suporta um contato direto de emergência, recusa mudanças de origem não programadas até confirmação e remove a permissão na saída. Não depende de uma ROA como a única prova da autoridade do cliente.

O RIR ou a CA pai autentica o detentor do recurso, opera ou suporta o modelo de certificação escolhido, protege a hierarquia pai, fornece publicação confiável e registros de alteração, e lida com eventos comprovados de credenciais ou legais dentro de um escopo transparente. Não infere a locação privada a partir do BGP nem decide faturas comuns.

Para locações de alta mudança ou alta dependência, uma CA subordinada limitada pode mover a execução para mais perto do locatário. Para locações de baixa mudança, o serviço hospedado com compromissos de resposta rígidos pode ser mais seguro. Para prazos muito curtos, o custo do RPKI e da transição do upstream podem justificar um aviso mais longo ou um design de endereço diferente. A escolha deve seguir a dependência operacional, não a ideologia.

Todo modelo precisa das mesmas proteções: escopo exato, menor autoridade, contatos redundantes, resposta medida, estado visível, sobreposição segura, término rígido e evidências independentes. Remova uma, e o controle migra para quem por acaso possuir a credencial quando algo der errado.

O teste é se a autoridade segue a responsabilidade

Uma locação de IPv4 é sustentável quando a parte responsável pelo serviço pode obter a autorização necessária, enquanto a parte responsável pelo recurso pode impedir a expansão não autorizada e garantir a revogação eventual.

Esse equilíbrio não é alcançado atribuindo a ROA a um ator em uma frase. É alcançado conectando a permissão comercial aos eventos operacionais. A autoridade de certificação do locador não deve se tornar um veto não precificado sobre as mudanças rotineiras de rede. A necessidade de velocidade do locatário não deve se tornar uma autoridade de assinatura permanente sobre um agregado. O upstream não deve terceirizar a verificação do cliente para um objeto criptográfico. O RIR não deve ser forçado a decidir um contrato que não pode ver.

A tecnologia já expõe as distinções relevantes. Uma ROA nomeia um prefixo, origem e comprimento máximo opcional. O serviço hospedado centraliza as operações de assinatura. O serviço delegado move o controle e a manutenção das chaves. As partes confiáveis recuperam e validam o material publicado. Os roteadores aplicam a política local. A tarefa de governança é tornar a locação igualmente precisa.

A locação mais segura cria a autorização antes que o tráfego dependa dela, mantém a autorização alinhada com as rotas documentadas, permite uma adaptação de emergência restrita, isola disputas de clientes e retira tanto a rota quanto sua permissão criptográfica no final. Registra quem fez cada ato e quando.

A resposta final para "Quem controla a ROA?" é, portanto, intencionalmente plural. O locador controla a autoridade certificada. O locatário controla o requisito operacional. O upstream controla a aceitação direta. O RIR controla um serviço pai ou hospedado dentro de seu escopo. O contrato controla como esses poderes se encontram.

Se o contrato for silencioso, o detentor da credencial controla a crise. Se o contrato for preciso, nenhum ator controla mais do que a responsabilidade que concordou em assumir.

Fontes