Prodotto
Soluzioni
Risorse
Scopri di più
Accedi
Demo

Aggiornamenti dei prodotti

Sfruttare il potenziale dell'infrastruttura RPKI

Di Arun Mehra & Kemal Sanjta
| 14 novembre 2024 | 10 minuti di lettura

Questo post è disponibile anche per: United States (English), Germany (Deutsch), Mexico (Español), Spain (Español), France (Français), Canada (Français), Japan (日本語), Korea (한국어), Brazil (Português) & Mainland China (简体中文).

Riepilogo

La RPKI (Resource Public Key Infrastructure) usa i certificati digitali per verificare che i numeri di sistema autonomo (AS) annuncino specifici blocchi di indirizzi IP. La nuova funzionalità di ThousandEyes semplifica il monitoraggio della RPKI.

L'infrastruttura RPKI rappresenta un notevole passo avanti nella sicurezza dei percorsi su Internet. Se ancora non la conosci, leggi questo post e scopri come funziona, quali sono i suoi vantaggi principali e perché aiuta a ottimizzare la strategia di sicurezza della rete. In più, parleremo della nuova funzionalità di ThousandEyes, che consente di monitorare la RPKI con più efficienza.

Cos'è la RPKI?

La RPKI è un framework nato per migliorare la sicurezza dell'infrastruttura di routing su Internet che verifica che i prefissi IP annunciati dai sistemi autonomi (AS) siano legittimi e autorizzati. Questa funzionalità mitiga le conseguenze delle acquisizioni illegittime di indirizzi IP e riduce al minimo gli effetti degli errori di configurazione, per una maggiore sicurezza e affidabilità dei percorsi su Internet.

Perché la RPKI è importante per le aziende?

La RPKI conferma l'autenticità delle origini dei prefissi IP, e in questo modo evita la diffusione di prefissi illegittimi dovuti a errori di configurazione e acquisizioni illegittime di indirizzi IP. Sempre più aziende, tra cui grandi istituti finanziari e il governo federale degli Stati Uniti, hanno scelto di adottare questa infrastruttura, che sta diventando imprescindibile per ottimizzare la sicurezza del routing. Limitare la portata delle acquisizioni illegittime di indirizzi IP e degli errori di configurazione del protocollo BGP (Border Gateway Protocol) migliora la sicurezza della rete, la stabilità operativa, la salute finanziaria, la conformità alle normative e il vantaggio competitivo. Adottare misure adeguate a prevenire e mitigare i dirottamenti BGP aiuta a proteggere le risorse aziendali, la reputazione e il fatturato, aumentando al tempo stesso la fiducia e la soddisfazione dei clienti. 

Breve storia della RPKI

In origine, il protocollo BGP non era stato progettato per la sicurezza; per questo motivo, le opzioni che offre per contrastare i dirottamenti dei percorsi sono limitate. Se non è possibile annunciare un prefisso più specifico, spesso l'unica scelta è mettersi direttamente in contatto con i colleghi. Per risolvere il problema, i professionisti del routing hanno adottato alcune best practice, ad esempio limitare il numero di prefissi che è possibile annunciare e filtrare i percorsi. 

Negli ultimi dieci anni, gli esperti hanno lavorato per progettare e promuovere l'infrastruttura RPKI al fine di prevenire i dirottamenti dei percorsi sia intenzionali che accidentali. Al momento, circa il 53% dei prefissi IPv4 e il 60% dei prefissi IPv6 dispongono di autorizzazioni ROA (Route Origin Authorization) valide. 

Nonostante i passi avanti compiuti, implementare misure di sicurezza come l'infrastruttura RPKI non è un obbligo; pertanto, la strada per garantire una protezione completa dei percorsi BGP è ancora lunga. Tuttavia, la tendenza sembra essere positiva: i principali provider di transito, come NNT, Cogent e Lumen, e i principali provider di contenuti, come Amazon e Netflix, hanno implementato la convalida RPKI, contribuendo a rendere Internet un luogo più sicuro. È auspicabile che gli operatori collaborino tra loro per continuare a diffondere queste best practice fra i provider e di conseguenza aumentare la sicurezza degli internauti.

Come funziona la RPKI?

La RPKI usa i certificati digitali per verificare che determinati numeri AS annuncino specifici blocchi di indirizzi IP. Sono previsti due passaggi: firma e convalida. In breve, ecco come funziona il processo:

  1. Autorità di certificazione (CA): un soggetto terzo di fiducia, definito autorità di certificazione, rilascia i certificati digitali ai titolari di prefissi IP e AS. I certificati indicano i prefissi IP e gli AS per i quali il soggetto può rilasciare le autorizzazioni ROA.

  2. Autorizzazione ROA (Route Origin Authorization): il titolare del prefisso IP crea le autorizzazioni ROA, specificando i numeri AS autorizzati ad annunciare i blocchi di indirizzi IP. Le ROA vengono firmate con i certificati digitali rilasciati dall'autorità di certificazione.

  3. Convalida: gli operatori di rete usano gli strumenti di convalida della RPKI per verificare l'autenticità delle ROA. Se le ROA sono valide e gli annunci dei percorsi sono in linea con esse i percorsi vengono accettati; in caso contrario, devono essere rifiutati. Questo processo è noto come ROV (Route Origin Validation).

Come funziona la convalida RPKI

Nella Figura 1 vediamo i percorsi BGP di ThousandEyes, che mostrano le modifiche dei percorsi per un prefisso specifico. Le linee rosse piene rappresentano i nuovi percorsi in fase di installazione, mentre quelle tratteggiate indicano i percorsi ritirati. Due monitor BGP di ThousandEyes, situati a New York e Amsterdam, segnalano che il prefisso non è raggiungibile perché due provider, AT&T e KPN, rilevano ROA non valide per il prefisso annunciato. I provider, che hanno implementato la ROV, rimuovono l'annuncio, e il prefisso perde visibilità. In questo caso non si tratta di un'attività malevola; l'origine di questa situazione va ricercata in un errore di configurazione della ROA. Tuttavia, questo scenario mostra come un'infrastruttura RPKI riesca a prevenire la diffusione di annunci non validi in caso di dirottamenti.

La visualizzazione dei percorsi BGP di ThousandEyes mostra che il prefisso ha perso visibilità per alcuni monitor
Figura 1. La visualizzazione dei percorsi BGP di ThousandEyes mostra che il prefisso ha perso visibilità per alcuni monitor

Quando gli operatori di rete correggono la ROA, tutto torna a funzionare come previsto, come si vede in Figura 2.

La piattaforma ThousandEyes mostra il ripristino dei percorsi dopo la correzione della ROA
Figura 2. Ripristino dei percorsi dopo la correzione della ROA

Implementazione della RPKI

Implementare un'infrastruttura RPKI può sembrare un compito complesso, ma in realtà non è così; sono sufficienti alcuni semplici passaggi:

  1. Prendere atto del ruolo dei registri Internet regionali (RIR): i registri Internet regionali (RIR, ARIN, RIPE NCC, APNIC, LACNIC e AFRINIC) fungono da Trust Anchor e da CA radice per i servizi RPKI. Per iniziare, accedere al portale del RIR di interesse e leggere la guida su come creare le ROA.

  2. Creare le ROA: usare l'interfaccia Web o l'API del RIR per creare le ROA. Una ROA indica l'AS autorizzato a generare uno specifico prefisso IP. In molti casi la procedura è automatica ed è sufficiente confermare la selezione.

  3. Monitorare: usare ThousandEyes per monitorare gli annunci RPKI non validi.

  4. Continuare nel tempo: infine, è anche necessario impostare la lunghezza massima dei prefissi, valutare l'impatto sui sistemi esistenti, ad esempio la mitigazione DDoS, e aggiornare i processi correlati, al fine di mantenere le ROA aggiornate, garantire la sicurezza e la conformità e prevenire le interruzioni globali. (Nota: per brevità, alcuni dettagli sono stati semplificati.)

Monitoraggio dell'infrastruttura RPKI in ThousandEyes

Dopo aver configurato le ROA per le coppie di ASN e prefissi, possiamo usare ThousandEyes per impostare un nuovo tipo di avviso che riguarda lo stato della RPKI (vedere Figura 3); questo avviso segnala gli annunci RPKI non validi rilevati dai monitor BGP. Gli avvisi si possono associare ai test o ai prefissi specifici da monitorare.

Configurazione degli avvisi della RPKI nella piattaforma ThousandEyes
Figura 3. Configurazione degli avvisi della RPKI

Quando i monitor BGP di ThousandEyes rilevano un annuncio RPKI non valido inviano un avviso, mentre la schermata BGP riporta le informazioni sull'AS che annuncia il prefisso RPKI non valido, come mostrato in Figura 4.

Annuncio RPKI non valido nella piattaforma ThousandEyes
Figura 4. Annuncio RPKI non valido nella piattaforma ThousandEyes

Conclusioni

La RPKI è un'infrastruttura di sicurezza avanzata che aumenta il livello di protezione e l'affidabilità della postura BGP e riduce l'impatto degli errori di configurazione e dei dirottamenti BGP per proteggere i dati e garantirti una presenza affidabile su Internet. Implementa l'infrastruttura RPKI oggi stesso e porta la sicurezza dei percorsi su Internet ai massimi livelli.

Per eventuali domande o assistenza nell'implementazione di un'infrastruttura RPKI, contatta il nostro team. Siamo qui per aiutarti a ottimizzare la sicurezza dei percorsi su Internet.

Pubblicato in data 14 novembre 2024

Author Portrait:Arun Mehra
Arun Mehra
Engineering Product Manager (BGP)
Author Portrait:Kemal Sanjta
Kemal Sanjta
Principal Internet Analyst
Categorie:
Aggiornamenti dei prodotti
Temi:
BGP (protocollo gateway di frontiera) Infrastruttura a chiave pubblica di risorse (RPKI)
Condividi!
  Torna al blog di ThousandEyes

Blog correlati

Blog Thumbnail: ThousandEyes Connected Devices per i provider di servizi: visibilità estesa sulla rete dell'ultimo miglio
Aggiornamenti dei prodotti
ThousandEyes Connected Devices per i provider di servizi: visibilità estesa sulla rete dell'ultimo miglio
In occasione del Mobile World Congress (MWC), ThousandEyes ha il piacere di presentare ThousandEyes Connected Devices, una soluzione che offre visibilità approfondita sull'esperienza degli utenti e migliora le prestazioni dei provider di servizi.
Di David Puzas & Hassan Qadir | 3 marzo 2025 | 10 minuti di lettura
Blog Thumbnail: Traffic Insights cambia le regole del gioco per i team di NetOps
Aggiornamenti dei prodotti
Traffic Insights cambia le regole del gioco per i team di NetOps
Da oggi, i clienti ThousandEyes possono accedere all'anteprima privata di Traffic Insights, una soluzione di assurance avanzata che sfrutta la funzionalità NetFlow per proteggere la rete aziendale.
Di Jonathan Zarkower | 11 febbraio 2025 | 14 minuti di lettura
Blog Thumbnail: ThousandEyes disponibile sui dispositivi Cisco ISR 1000
Aggiornamenti dei prodotti
ThousandEyes disponibile sui dispositivi Cisco ISR 1000
L'integrazione di ThousandEyes e Cisco ISR 1000 offre visibilità in tempo reale, monitoraggio proattivo e diagnostica avanzata per ottimizzare le prestazioni di reti e applicazioni.
Di Chitra Shastri | 14 gennaio 2025 | 8 minuti di lettura
AMERICAS
EUROPE
ASIA