Parce que nous voulons améliorer la sécurité et la résilience du système de routage mondial de l’Internet, nous activons la validation et le filtrage RPKI sur chaque lien de service IP Transit et sur chaque session de peering avec le réseau AS 5511.
Vous serez contacté par nos équipes opérationnelles lorsque nous interviendrons sur les sessions BGP entre votre réseau et l’AS 5511 d’Orange.
Si vous avez déjà créé des ROA pour l’espace IP de votre réseau, n’hésitez pas à vérifier leur cohérence avec vos annonces BGP. Si ce n’est pas le cas, nous vous encourageons à le faire afin de mieux protéger Internet.
Les options de Blackhole IP Transit (On Demand Blackhole ou Remotely Triggered Blackhole) ne sont pas impactées par le déploiement de RPKI dans notre réseau.
Aujourd’hui, Internet est devenu un réseau mondial. Particuliers et entreprises s’y fient pour leurs communications quotidiennes — des achats et divertissements aux applications métier critiques. À mesure que de plus en plus de services convergent vers le transport IP, la fiabilité et la qualité de performance de l’IP Transit sont devenues des objectifs essentiels pour les abonnés Internet, les fournisseurs d’accès (ISP) ainsi que les fournisseurs de contenus et de services cloud.
Si l’IP est utilisée pour le transport, le Border Gateway Protocol (BGP), composant essentiel de l’IP Transit, détermine le chemin emprunté par les paquets IP. BGP est un protocole passerelle normalisé conçu pour échanger des informations de routage et d’atteignabilité entre systèmes autonomes (AS) sur Internet. BGP construit et maintient la table de routage d’Internet ; toutefois, il n’est pas capable à lui seul de valider les informations de routage.
RPKI est un cadre standard de l’IETF, qui fournit un mécanisme hors bande permettant de valider les routes BGP annoncées par les réseaux constituant Internet. RPKI fait partie des actions identifiées par l’initiative mondiale Mutually Agreed Norms for Routing Security (MANRS) afin de :
Le RPKI s’appuie sur des informations publiques consultables au moyen de mécanismes cryptographiques. Les opérateurs de réseau créent des certificats cryptographiques, appelés Route Origin Authorization (ROA), indiquant quel système autonome (AS) est autorisé à annoncer un certain préfixe BGP. Les ROA peuvent être consultés de manière sécurisée dans les bases de données des Registres Internet Régionaux (RIR), qui comprennent les informations suivantes : système autonome, préfixe annoncé et longueur maximale
 |
 |
Les routeurs effectuent ensuite une opération appelée validation de l’origine de route (ROV), durant laquelle les routeurs et l’architecture RPKI échangent des informations, permettant de comparer l’annonce de préfixe BGP reçue au ROA (le cas échéant).
L’opération de ROV peut produire trois états permettant aux routeurs de prendre une décision concernant le préfixe BGP considéré
Le numéro d’AS qui annonce le préfixe BGP ne correspond pas à l’AS autorisé par le ROA couvrant. Il peut s’agir d’une tentative de détournement (hijacking).
| BGP Prefix |
Covering ROA |
| ASN: 65003 ; Prefix 192.168.1.0 /24 |
ASN: 65020; Prefix: 192.168.1.0 /24 Max Length: /26 |
La longueur du préfixe BGP est plus longue que celle autorisée par la longueur maximale définie dans un ROA correspondant au préfixe et à l’AS.
| BGP Prefix |
Covering ROA |
| ASN: 65003 ; Prefix 192.168.1.0 /24 |
ASN: 65003; Prefix: 192.168.1.0 /22 Max Length: /22 |
N’hésitez pas à consulter la documentation suivante pour en savoir plus sur le RPKI et les sujets de routage BGP :
