Bienvenue dans le monde de l’infrastructure à clé publique des ressources (RPKI), une amélioration considérable dans la sécurité du routage Internet. Si votre entreprise n’a pas encore envisagé la RPKI, ce billet de blogue s’adresse à vous. Nous examinerons l’essentiel, en soulignant les principaux avantages, et expliquerons pourquoi la RPKI est avantageuse pour votre stratégie de sécurité réseau. En outre, nous lancerons une nouvelle fonction ThousandEyes qui vous permet de superviser la RPKI plus efficacement.
Qu’est-ce que la RPKI?
La RPKI est un cadre conçu pour améliorer la sécurité de l’infrastructure de routage d’Internet. Elle permet de vérifier que les préfixes IP annoncés par les systèmes autonomes (SA) sont légitimes et autorisés. Cette capacité atténue les conséquences du détournement d’espaces d’adressage IP par des acteurs malveillants et réduit au minimum les effets de mauvaises configurations de la part d’entités inoffensives, ce qui améliore la sécurité et la fiabilité globales du routage Internet.
Pourquoi les entreprises devraient-elles se soucier de la RPKI?
En validant l’authenticité des origines des préfixes IP, la RPKI contribue à limiter la diffusion d’annonces de préfixes illégitimes causée par de mauvaises configurations et des détournements. À mesure que de plus en plus d’organisations, notamment d’importants établissements bancaires et l’administration fédérale des États-Unis, adoptent la RPKI, celle-ci devient essentielle à la sécurité de routage améliorée. Le fait de limiter le rayon d’action des détournements et des mauvaises configurations de protocole de passerelle frontière (BGP) est avantageux pour la sécurité réseau, la stabilité opérationnelle, la solidité financière, la conformité aux réglementations et l’obtention d’un atout concurrentiel. En investissant dans des mesures de prévention et d’atténuation des détournements BGP, les organisations peuvent protéger leurs ressources, leur réputation et leurs sources de revenus tout en améliorant la confiance et la satisfaction de la clientèle.
Brève histoire de la RPKI
Le BGP n’a initialement pas été conçu en tenant compte de la sécurité, ce qui limite les options de ses exploitants lors du détournement d’une route. S’il est impossible d’annoncer un préfixe plus précis, le seul recours est souvent la communication directe avec les pairs. Pour surmonter ces difficultés, la communauté du routage a donc adopté différentes bonnes pratiques, comme la configuration du maximum de préfixes pouvant être annoncés et l’utilisation du filtrage des routes.
Au cours de la dernière décennie, d’importants efforts ont également été déployés dans la création et la promotion de la RPKI pour prévenir les détournements de route malveillants et inoffensifs. Actuellement, environ 53 % des préfixes IPv4 et approximativement 60 % des préfixes IPv6 ont des autorisations d’origine de route (ROA).
Malgré les progrès, la mise en œuvre de mesures de sécurité comme la RPKI n’est pas obligatoire pour les exploitants de réseau, ce qui signifie que le parcours sera long pour sécuriser entièrement le BGP. Des tendances positives existent toutefois : d’importants fournisseurs de transit comme NTT, Cogent et Lumen, ainsi que de grands fournisseurs de contenu comme Amazon et Netflix, ont déployé une validation de RPKI, ce qui contribue à sécuriser davantage l’Internet. Les exploitants doivent collaborer pour veiller à ce que d’autres fournisseurs adoptent ces pratiques et rendent l’Internet plus sécuritaire pour tous.
Comment fonctionne la RPKI?
À l’aide de certificats numériques, la RPKI vérifie que certains chiffres de SA peuvent annoncer des blocs d’adresses IP précis. Deux étapes suivent alors : la signature et la validation. Voici une ventilation simplifiée du processus :
-
Autorité de certification (CA) : une entité de confiance, appelée Autorité de certification, émet des certificats numériques aux détenteurs de préfixes IP et SA. Ces certificats confirment pour quels préfixes IP et SA l’entité peut émettre des ROA.
-
Autorisations d’origine de route (ROA) : le détenteur de préfixe IP crée les ROA, qui précisent les numéros de SA autorisés à annoncer leurs blocs d’adresses IP. Ces ROA sont signées avec les certificats numériques émis par la CA.
-
Validation : les exploitants de réseau se servent des valideurs pour vérifier l’authenticité des ROA. Si les ROA sont valides et que les annonces de route concordent avec elles, les routes sont acceptées; autrement, elles doivent être refusées. Ce processus s’appelle la validation d’origine de route (ROV).
Validation de RPKI en action
À la figure 1, la visualisation de route BGP de ThousandEyes montre les changements de chemin pour un préfixe en particulier. Les lignes rouges continues représentent les nouveaux chemins en cours d’installation, tandis que les lignes rouges pointillées indiquent les chemins en cours de suppression. Deux outils de supervision BGP de ThousandEyes, situés à New York et à Amsterdam, signalent l’inaccessibilité des préfixes. Cela provient du fait que deux fournisseurs, AT&T et KPN, détectent des ROA invalides pour le préfixe annoncé. En raison de leur intégration de ROA, ils délaissent cette annonce, ce qui entraîne un manque de visibilité des préfixes. Cette situation provient d’une mauvaise configuration de ROA plutôt que d’une activité malveillante. Nous pouvons toutefois constater dans ce scénario la façon dont la RPKI peut empêcher la diffusion d’annonces invalides en cas de détournement.
Lorsque les exploitants de réseau réparent la ROA, tout fonctionne comme prévu, comme le montre la figure 2 ci-dessous.
Premiers pas avec la RPKI
La mise en œuvre de la RPKI peut sembler intimidante, mais elle est plus simple qu’il ne paraît. Voici les étapes à suivre pour commencer :
-
Comprendre le rôle des organismes d’enregistrement Internet local (RIR) : ces organismes (RIR, ARIN, RIPE NCC, APNIC, LACNIC et AFRINIC) agissent à titre d’ancre de confiance et de CA de base pour les services de RPKI. Connectez-vous d’abord au portail de votre RIR et consultez le guide de l’organisme sur la création de ROA.
-
Création de ROA : servez-vous de l’interface Web du RIR ou de l’API pour créer des ROA. Une ROA précise le SA autorisé à générer un préfixe IP particulier. Dans bien des cas, le RIR peut le suggérer automatiquement et vous n’avez qu’à le confirmer.
-
Supervision : supervisez la RPKI à l’affût d’invalidités à l’aide de ThousandEyes.
-
Entretien : les exploitants devront également fixer la limite de longueur des préfixes, évaluer les effets sur les systèmes existants comme l’atténuation DDoS et mettre à jour les flux de travaux connexes pour conserver les ROA à jour afin de veiller à la sécurité et à la conformité en continu et de prévenir les pannes mondiales. (Remarque : Aux fins du présent billet de blogue, nous avons inévitablement simplifié certains détails.)
Supervision de la RPKI dans ThousandEyes
Après la configuration de ROA dans vos paires de préfixes à numéro de système autonome (ASN), vous pouvez configurer les alertes à l’aide du nouveau type d’alerte sur le statut de RPKI de ThousandEyes (voir la figure 3) afin de superviser toute annonce invalide de RPKI détectée par nos outils de supervision BGP. Associez ces alertes aux tests ou préfixes particuliers que vous souhaitez superviser.
Lorsque les outils de supervision BGP de ThousandEyes détectent une annonce RPKI invalide, vous recevez une alerte et voyez une représentation visuelle dans les vues BGP, comme le montre la figure 4, indiquant le SA qui annonce le préfixe RPKI invalide.
Conclusion
La RPKI est un puissant cadre de sécurité qui peut renforcer la sécurité et la fiabilité de votre position BGP. En atténuant les effets des mauvaises configurations et des détournements BGP, la RPKI facilite la protection de vos données et vous permet de maintenir une présence digne de confiance sur Internet. Entamez votre parcours de RPKI dès aujourd’hui afin de libérer le plein potentiel du routage sécurisé pour votre entreprise.
