Produit
Solutions
Ressources
À Propos
Connexion
Demander une démo

Nouveautés produit

Exploitez la puissance de l'infrastructure de clés publiques (RPKI)

Par Arun Mehra & Kemal Sanjta
| 14 novembre 2024 | 11 minutes de lecture

Cet article est également disponible pour : United States (English), Germany (Deutsch), Mexico (Español), Spain (Español), Canada (Français), Italy (Italiano), Japan (日本語), Korea (한국어), Brazil (Português) & Mainland China (简体中文).

Résumé

RPKI : des certificats digitaux pour vérifier que les AS annoncent les blocs IP. Grâce à une nouvelle fonctionnalité de ThousandEyes, vous pouvez superviser votre infrastructure RPKI en toute simplicité.

Découvrez les infrastructures de clés publiques (RPKI) et leur contribution essentielle à la sécurité du routage Internet. Si votre entreprise n'utilise pas encore d'infrastructure RPKI, ce blog est pour vous. Nous couvrirons les principes élémentaires de cette infrastructure, en mettant en avant ses bénéfices, et nous verrons pourquoi l'infrastructure RPKI est un atout précieux de votre stratégie de sécurité réseau. Nous présenterons également une nouvelle fonctionnalité de ThousandEyes qui vous permet de superviser l'infrastructure RPKI plus efficacement.

Qu'est-ce qu'une infrastructure RPKI ?

La RPKI est un cadre créé pour améliorer la sécurité des infrastructures de routage Internet. Elle permet de s'assurer que les préfixes IP annoncés depuis les systèmes autonomes (AS) sont légitimes et autorisés. Cette capacité atténue l'impact des détournements d'adresse IP par les hackers et des erreurs de configuration, ce qui améliore la sécurité et la fiabilité du routage Internet dans son ensemble.

Pourquoi les entreprises doivent-elles s'intéresser à l'infrastructure RPKI ?

En validant l'authenticité de l'origine des préfixes IP, l'infrastructure RPKI restreint la diffusion d'annonces de préfixes illégitimes suite à des erreurs de configuration et à des détournements d'adresse. Adoptées par de plus en plus d'entreprises, notamment de grandes institutions financières et l'administration fédérale américaine, les infrastructures RPKI sont en passe de devenir indispensables à la sécurité du routage. Limiter l'impact des détournements BGP et des mauvaises configurations offre des avantages pour la sécurité du réseau, la stabilité opérationnelle, la santé financière de l'entreprise, la conformité aux réglementations et l'obtention d'un avantage concurrentiel. Investir dans des solutions qui préviennent ou contrent les détournements BGP permet non seulement aux entreprises de protéger leurs ressources, leur réputation et leurs sources de revenus, mais aussi de renforcer la confiance et la satisfaction des clients.

Histoire de l'infrastructure RPKI

La sécurité n'était pas au cœur de la conception du protocole BGP, car elle limitait les options à disposition des opérateurs lors d'un détournement de route. Si l'annonce d'un préfixe spécifique est impossible, la seule solution est souvent de contacter directement les systèmes homologues. Pour surmonter cet obstacle, la communauté des experts a adopté un ensemble de bonnes pratiques, comme la configuration du nombre maximum de préfixes pouvant être annoncés et le filtrage des routes.

Ces dix dernières années, des efforts considérables ont été déployés pour concevoir et promouvoir l'infrastructure RPKI, et ainsi éviter les détournements malveillants ou accidentels. À l'heure actuelle, environ 53 % des préfixes IPv4 et 60 % des préfixes IPv6 ont des autorisations d'origine des routes (ROA) valides.

Malgré les progrès réalisés, le chemin à parcourir pour sécuriser le protocole BGP est encore long, car la mise en œuvre de mesures de sécurité comme l'infrastructure RPKI n'est pas obligatoire pour les opérateurs réseau. Toutefois, certaines tendances sont encourageantes : de grands fournisseurs de services de transit (comme NTT, Cogent et Lumen) et des fournisseurs de contenu majeurs (comme Amazon et Netflix) ont déployé la validation RPKI, contribuant à rendre Internet plus sûr. Les opérateurs doivent collaborer pour faire en sorte que davantage de fournisseurs adoptent ces pratiques et renforcent la fiabilité d'Internet.

Comment fonctionne l'infrastructure RPKI ?

L'infrastructure RPKI utilise des certificats digitaux pour vérifier que des blocs d'adresses IP spécifiques peuvent être annoncés par certains numéros de systèmes autonomes (AS). Deux étapes se succèdent alors : la connexion et la validation. Voici comment se déroule le processus :

  1. Autorité de certification (CA) : une entité de confiance, appelée autorité de certification, délivre un certificat digital aux détenteurs de préfixes IP et AS. Ces certificats confirment les préfixes des IP et des AS pour lesquels l'entité peut fournir des autorisations d'origine des routes (ROA).

  2. Autorisations d'origine des routes (ROA) : le détenteur du préfixe IP crée des ROA qui indiquent quels numéros d'AS sont autorisés à annoncer leurs blocs d'adresses IP. Les certificats digitaux délivrés par l'autorité de certification sont utilisés pour signer ces ROA.

  3. Validation : les opérateurs réseau utilisent la validation RPKI pour vérifier l'authenticité des ROA. Si les ROA sont valides et que les annonces de route s'y conforment, les routes sont acceptées. Autrement, elles doivent être rejetées. Ce processus s'appelle la validation d'origine de route (ROV).

La validation RPKI en action

Sur la Figure 1, la fonctionnalité BGP Route Visualization de ThousandEyes affiche les changements de routage pour un préfixe spécifique. Les lignes rouges représentent les nouveaux chemins découverts, tandis que les lignes en pointillés indiquent les chemins retirés. Deux superviseurs BGP de ThousandEyes, l'un à New York, l'autre à Amsterdam, signalent des préfixes inaccessibles. En effet, deux fournisseurs, AT&T et KPN, détectent des ROA invalides pour le préfixe annoncé. Étant donné qu'ils ont implémenté la validation d'origine de route (ROV), ces annonces sont abandonnées, entraînant une perte de la visibilité du préfixe. Cette situation résulte d'une erreur de configuration de l'autorisation d'origine des routes (ROA), et non d'une activité malveillante. Toutefois, ce scénario montre comment l'infrastructure RPKI peut prévenir la diffusion d'annonces non valides en cas de détournement.

La supervision BGP de ThousandEyes indique le manque de visibilité sur le préfixe pour certains superviseurs
Figure 1. La supervision BGP de ThousandEyes indique le manque de visibilité sur le préfixe pour certains superviseurs

Quand un opérateur réseau corrige la configuration ROA, tout fonctionne comme prévu, comme illustré à la Figure 2 ci-dessous.

La plateforme ThousandEyes montre que les chemins sont restaurés une fois la ROA corrigée
Figure 2. Les chemins sont restaurés une fois la ROA corrigée

Premiers pas avec l'infrastructure RPKI

Ne vous laissez pas intimider par la mise en œuvre d'une infrastructure RPKI : c'est bien plus simple que vous ne le pensez. Voici les étapes à suivre pour commencer :

  1. Comprendre le rôle des registres Internet régionaux (RIR) : les registres Internet régionaux (RIR, ARIN, RIPE NCC, APNIC, LACNIC et AFRINIC) sont les autorités de certification racine pour les services RPKI et servent de modules Trust Anchor. Pour commencer, connectez-vous au portail de votre RIR et consultez ses directives sur la création des ROA.

  2. Créer des ROA : utilisez l'interface web du registre Internet régional ou une API pour créer des ROA. Une ROA spécifie quel AS est autorisé à annoncer un préfixe IP particulier. Dans de nombreux cas, le RIR vous recommande automatiquement les AS, et il vous suffit de confirmer.

  3. Superviser : supervisez les entrées RPKI non valides avec ThousandEyes.

  4. Entretenir : les opérateurs devront par ailleurs définir la longueur maximale du préfixe, évaluer les effets sur les systèmes comme la protection contre les attaques DDoS, et actualiser les workflows pour que les ROA restent à jour et assurent une sécurité et une conformité continues afin d'éviter les pannes mondiales. (Remarque : pour les besoins de ce blog, nous avons évidemment simplifié certains éléments.)

Superviser l'infrastructure RPKI dans ThousandEyes

Une fois vos ROA configurées pour vos combinaisons de préfixes ASN, vous pouvez paramétrer des alertes en utilisant le nouveau type d'alerte de ThousandEyes intitulé RPKI Status (illustré à la Figure 3) pour superviser toute annonce non valide auprès de la RPKI qui a été détectée par nos outils de supervision BGP. Ces alertes peuvent être associées aux tests ou aux préfixes spécifiques que vous souhaitez superviser.

Configuration d'une alerte RPKI sur la plateforme ThousandEyes
Figure 3. Configuration d'une alerte RPKI

Quand la supervision BGP de ThousandEyes détecte une annonce RPKI non valide, vous recevez une alerte et une représentation visuelle s'affiche dans les vues BGP de la plateforme (comme illustré à la Figure 4), indiquant quel AS est à l'origine de l'annonce de préfixe non valide.

La plateforme ThousandEyes affiche une annonce non valide selon la RPKI
Figure 4. La plateforme ThousandEyes affiche une annonce non valide selon la RPKI

Conclusion

L'infrastructure RPKI offre un cadre de sécurité qui renforce la fiabilité et la protection de l'intégrité de votre routage BGP. Parce qu'elle atténue les répercussions des erreurs de configuration ou des usurpations de route BGP, la RPKI simplifie la protection de vos données et vous aide à protéger votre connectivité Internet. N'attendez plus pour vous lancer sur la voie de l'infrastructure RPKI dès aujourd'hui et exploiter tout le potentiel du routage sécurisé dans votre entreprise.

Pour toute question ou demande d'assistance pour implémenter la RPKI, contactez notre équipe. Nous sommes à vos côtés pour vous guider et vous faire profiter d'un routage Internet plus sûr.

Publié le 14 novembre 2024

Author Portrait:Arun Mehra
Arun Mehra
Engineering Product Manager (BGP)
Author Portrait:Kemal Sanjta
Kemal Sanjta
Analyste principal d'Internet
Catégories:
Nouveautés produit
Sujets:
Border Gateway Protocol (BGP) Infrastructure de clés publiques (RPKI)
Partager L Article!
  Retourner sur le blog

Les articles sur le même sujet

Blog Thumbnail: ThousandEyes Connected Devices offre aux fournisseurs de services une visibilité étendue sur le réseau du dernier kilomètre
Nouveautés produit
ThousandEyes Connected Devices offre aux fournisseurs de services une visibilité étendue sur le réseau du dernier kilomètre
Lors du Mobile World Congress (MWC), ThousandEyes a présenté ThousandEyes Connected Devices, une solution qui renforce les performances des fournisseurs de services grâce à une meilleure visibilité sur l'expérience des abonnés.
Par David Puzas & Hassan Qadir | 3 mars 2025 | 11 minutes de lecture
Blog Thumbnail: Traffic Insights : une révolution pour les équipes NetOps
Nouveautés produit
Traffic Insights : une révolution pour les équipes NetOps
Les clients ThousandEyes peuvent dès à présent accéder à une version privée de Traffic Insights, qui exploite la technologie NetFlow pour mieux assurer les performances du réseau de l'entreprise.
Par Jonathan Zarkower | 11 février 2025 | 13 minutes de lecture
Blog Thumbnail: ThousandEyes est maintenant disponible sur les routeurs Cisco ISR 1000
Nouveautés produit
ThousandEyes est maintenant disponible sur les routeurs Cisco ISR 1000
L'intégration de ThousandEyes aux routeurs Cisco ISR 1000 offre aux équipes IT et réseau une visibilité en temps réel, des outils de supervision proactifs et de robustes capacités de résolution des problèmes pour préserver la performance globale de leurs réseaux et de leurs…
Par Chitra Shastri | 14 janvier 2025 | 10 minutes de lecture
AMERICAS
EUROPE
ASIA