Resumo

  • RPKI e Autorizações de Origem de Rota são melhorias de segurança, não riscos por natureza. O problema de responsabilidade aparece quando dados imprecisos de ROA, escolhas estreitas de maxLength, registros desatualizados ou controle de mudanças fraco fazem com que rotas legítimas sejam classificadas como inválidas por redes que aplicam validação de origem.
  • RIPE NCC deve ser tratado como um registro e superfície de serviço/documentação RPKI, não como o controlador de cada decisão de rota na internet. Os originadores de rotas criam e gerenciam ROAs; validadores e redes decidem como o estado de validação afeta o roteamento.
  • Um erro de ROA não causa automaticamente uma interrupção global. O impacto depende de quais prefixos são afetados, como as rotas são anunciadas, se as redes validadoras rejeitam rotas inválidas, com que rapidez os operadores detectam o problema e se os caminhos de reversão funcionam.
  • O risco de modo comum é real porque muitas redes podem consumir o mesmo sinal de validação. Uma vez que a rejeição automatizada de rotas inválidas é implantada, um erro de dados pode passar de uma ação administrativa para muitas decisões de roteamento.
  • Um registro de responsabilidade confiável para operações RPKI deve incluir controle de mudanças, validação pré-publicação, revisão de maxLength, alertas de monitoramento de rotas, notificação ao cliente, evidência de reversão e divisão clara de responsabilidades entre registros, detentores de recursos e redes.

Controles de segurança também precisam de controle de mudanças

O RPKI existe porque o modelo de confiança do BGP precisa de evidências de origem mais fortes. Apágina de certificação RPKI do RIPE NCCexplica o contexto de registro para certificar recursos numéricos. A documentação do RIPE Database sobreRPKIeROAsexplica o gerenciamento prático de Autorizações de Origem de Rota. Esses materiais apoiam um ponto simples: dados de segurança de roteamento são dados operacionais. Eles devem ser criados, revisados, monitorados e corrigidos com a mesma seriedade que a configuração do roteador.

Uma ROA declara que um determinado sistema autônomo está autorizado a originar um prefixo, com um comprimento máximo de prefixo. A RFC 6482,Um Perfil para Autorizações de Origem de Rota, define o objeto ROA. A RFC 6480,Uma Infraestrutura para Suportar Roteamento Seguro na Internet, descreve a arquitetura RPKI mais ampla. A RFC 6811,Validação de Origem de Prefixo BGP, explica como a validação pode classificar origens de rota como válidas, inválidas ou não encontradas. O mecanismo é elegante, mas operacionalmente afiado.

A nitidez vem da aplicação. Se uma rota é classificada como inválida e uma rede rejeita rotas inválidas, a acessibilidade pode mudar. Esse é o benefício de segurança pretendido quando a rota não é autorizada ou é uma tentativa de sequestro. É também o risco operacional quando a ROA está errada, desatualizada ou muito restrita para a forma como o detentor do recurso realmente anuncia as rotas. Um controle de segurança pode bloquear um ataque; o mesmo controle pode bloquear tráfego legítimo se seus dados estiverem errados.