Le Resource Public Key Infrastructure (RPKI) est un cadre qui aide à sécuriser l'infrastructure de routage de l'internet, en particulier le protocole de passerelle frontière (BGP). Il permet également aux détenteurs légitimes de ressources de mieux contrôler leurs protocoles de routage afin de prévenir les détournements et autres attaques. Le RPKI est essentiel, mais il faut savoir ce que l'on fait : après deux années de déploiement, Orange partage ses bonnes pratiques pour vous accompagner.
Considérons l’évolution de l’internet : aujourd’hui, il est devenu un réseau mondial sur lequel les consommateurs et les entreprises comptent pour toutes sortes de tâches et de communications. À mesure que de plus en plus de services en ligne migrent vers le transport IP, la fiabilité et la qualité du transit IP deviennent de plus en plus cruciales pour les utilisateurs, les fournisseurs d’accès à internet (FAI), ainsi que les fournisseurs de contenus et de services cloud.
Et si l’IP fournit le transport sur internet, le protocole BGP est essentiel pour déterminer le chemin que prennent les paquets IP. Le BGP est responsable de l’échange des informations de routage et d’accessibilité entre systèmes autonomes (AS), car il construit et maintient la table de routage de l’internet. Cependant, le BGP ne peut pas valider seul les informations de routage, le RPKI a donc aussi un rôle essentiel à jouer. Le RPKI est à la fois un cadre standard de l’IETF et une des actions identifiées dans l’initiative mondiale MANRS (Mutually Agreed Norms for Routing Security) afin de :
Orange a passé les deux dernières années à déployer le RPKI sur son réseau internet wholesale. Ce fut un chantier conséquent, mais nous sommes très satisfaits du résultat et convaincus qu’il s’agit d’une contribution majeure à la sécurité de l’internet mondial.
Mais certains défis persistent. Lorsqu’un opérateur télécom déploie le RPKI, cela peut avoir un effet cumulatif : cela n’impacte pas seulement les clients directs de l’opérateur, mais aussi les clients de ses clients. Par exemple, un client de votre client pourrait avoir des adresses IP invalides. Il pourrait essayer de corriger cela en modifiant ses adresses IP, mais oublier de mettre à jour l’autorisation d’origine de route (ROA). Si cela arrive, le RPKI pourrait détecter un écart entre les préfixes BGP autorisés et la ROA, considérer la route comme invalide et la bloquer.
Notre expérience montre que la mise en œuvre du RPKI à l’échelle de notre réseau a bénéficié d’une approche structurée, que nous avons découpée en six phases sur deux ans. Nous sommes partis du principe que l’impact potentiel sur nos clients devait être minimisé — un principe qui nous a guidés tout au long du projet.
Les six phases étaient les suivantes :
1. S’assurer que toutes les conditions techniques préalables sont réunies sur le réseau. Par exemple, tous vos routeurs doivent avoir la bonne version logicielle installée, sinon le RPKI risque de ne pas fonctionner correctement.
2. Activation des sessions RTR. C’est ici que vous mettez en œuvre le protocole RPKI vers routeur, ou RTR. Il est recommandé de commencer à petite échelle, sur des routeurs individuels, afin de tester le bon fonctionnement. Vous pouvez ensuite accélérer et passer à l’échelle supérieure.
3. Activation de l’observation RPKI. Ensuite, nous avons créé et publié les ROA (autorisations d’origine de route) et observé la réaction du RPKI sans activer le filtrage. Cette activation varie selon les fournisseurs de routeurs : pour certains, cela se fait par session BGP. Orange compte plus de 2 600 sessions BGP, ce qui explique la durée de cette phase.
4. Informer les clients des travaux à venir et des possibles perturbations. Grâce à l’observation réalisée lors de la phase trois, nous avons pu détecter tous les problèmes que nos clients pourraient rencontrer. Le filtrage RPKI nous a permis d’identifier les plages d’adresses IP considérées comme non valides, afin de les prévenir en amont et limiter l’impact.
5. Nettoyage des ROA clients RPKI. Nous avons pris le temps de travailler avec les clients ayant des routes invalides pour identifier les causes profondes des problèmes et mettre à jour leurs informations ROA.
6. Activation du filtrage ROV selon un plan défini. Grâce au temps passé sur la phase d’observation, nous avons pu identifier les zones où le nombre de clients impactés serait réduit. Ainsi, nous avons pu commencer l’activation dans des régions à faible risque. Et grâce à un programme d’automatisation développé par nos ingénieurs, nous avons pu activer le filtrage par lots d’environ 20 clients.
Notre approche structurée et par phases pour le déploiement du RPKI nous a permis d’évaluer les réussites et les écueils potentiels tout au long du processus. Voici les bonnes pratiques à retenir lors de la mise en œuvre du RPKI.
Un apprentissage clé : ne pas se précipiter. Le déploiement du RPKI comporte plusieurs étapes techniques et vérifications réseau, comme l’alignement des versions logicielles des routeurs, avant de pouvoir déployer les logiciels RPKI spécifiques. Ensuite, il y a les vérifications liées à l’implémentation du RPKI lui-même, telles que la publication des ROA et le ROV. Tout cela peut affecter vos clients finaux, il est donc important de structurer le projet en phases. Cela vous donne un meilleur contrôle et permet une meilleure gestion des incidents ou perturbations.
Le RPKI reste une fonctionnalité relativement nouvelle, et tous les logiciels de routeur ne le prennent pas encore en charge. Il est donc recommandé que vous, et/ou votre fournisseur de routeurs, fassiez un test simulé pour vérifier si vos équipements et versions logicielles supportent bien le RPKI. Une fois cela fait, assurez-vous que tous les routeurs d’un même fournisseur soient bien à jour, et confirmez l’interopérabilité entre les différents fournisseurs.
Conformément à notre principe de base de réduction de l’impact client, nous avons tenu nos clients informés à chaque étape du projet. La communication a été essentielle, et nous les avons prévenus plusieurs semaines à l’avance des changements à venir. Dès le début du projet, nous leur avons annoncé le lancement du déploiement RPKI à l’échelle mondiale et les avons conseillés sur les actions à entreprendre pour limiter l’impact sur leur activité. Ensuite, avant de déployer le filtrage, nous avons impliqué quelques clients équipés de différents types de routeurs pour effectuer des tests. Enfin, durant la phase d’observation, nous avons identifié les routes invalides pour chaque client, les avons informés et leur avons donné le temps de corriger leurs configurations avant d’activer le filtrage.
Le suivi du déploiement et de son bon fonctionnement est essentiel. Si, comme Orange, vous devez mettre en œuvre le RPKI sur des milliers de connexions client ou interconnexions réseau, il est indispensable de produire des tableaux de bord automatisés permettant de suivre le nombre de déploiements réalisés et ceux encore en attente.
Le déploiement du RPKI sur l’ensemble de notre réseau internet wholesale a duré deux ans. Ce fut un chantier de grande ampleur, mais nous sommes convaincus que le temps et les ressources investis sont rentabilisés et qu’il contribuera à la sécurité globale d’internet.
Le RPKI est désormais activé par défaut pour tout nouveau client Orange. Et afin d’éviter tout filtrage non souhaité, nous fournissons également à chaque client une liste spécifique d’adresses invalides via notre portail en ligne Click. Cela nous permet de continuer à limiter l’impact pour nos clients et d’améliorer l’efficacité et la précision du filtrage RPKI.
