RPKI en ROA zijn beveiligingssystemen die de legitimiteit van BGP-route-aankondigingen verifiëren.
Wat is RPKI?
RPKI (Resource Public Key Infrastructure) is een cryptografisch raamwerk dat internetrouting beveiligt door te verifiëren dat een autonoom systeem geautoriseerd is om specifieke IP-prefixen aan te kondigen.
Het adresseert een fundamentele kwetsbaarheid in BGP: zonder RPKI kan elk netwerk claimen elk IP-adresbereik te bezitten, waardoor mogelijk verkeer wordt gekaapt.
ROA's begrijpen
Een ROA (Route Origin Authorization) is een cryptografisch ondertekend object dat aangeeft welke AS geautoriseerd is om een specifieke IP-prefix aan te kondigen.
Een ROA bevat:
- De IP-prefix (bijv. 192.0.2.0/24)
- Het geautoriseerde ASN
- Maximaal toegestane prefixlengte
RPKI-validatiestatussen
Wanneer netwerken routes controleren tegen RPKI, krijgen ze één van drie validatiestatussen.
ROA bestaat en komt overeen met de aankondiging
Geen ROA bestaat voor deze prefix
ROA bestaat maar komt niet overeen (potentiële kaping)
Waarom ROA's belangrijk zijn
Geldige ROA's worden steeds belangrijker voor betrouwbare connectiviteit.
- Kaping voorkomen: Cryptografisch bewijs dat je geautoriseerd bent om prefixen aan te kondigen
- Betere routering: Grote netwerken geven voorkeur aan of vereisen routes met geldige ROA
- Industriestandaard: Verwachte praktijk voor professionele netwerkoperaties
ROA's en IP-leasing
Wanneer je IP-adressen least van IP Market, maken wij ROA-records die jouw ASN autoriseren om de geleasede prefixen aan te kondigen.
Dit zorgt ervoor dat je aankondigingen worden gevalideerd en je verkeer betrouwbaar routeert over netwerken die RPKI handhaven.