Американский регистратор интернет-номеров ARIN намерен проверить, придерживаются ли сети передовой практики BGP.
В последние годы все больше сетей внедряют проверку иерархической системы открытых ключей (Resource Public Key Infrastructure, RPKI) и подписывают свои маршруты Border Gateway Protocol (BGP) с целью защитить сети от взлома и хищения данных. В связи с этим ИБ-специалисты намерены проверить, что должно произойти в случае отказа в работе RPKI.
RPKI — криптографическая структура, предназначенная для защиты инфраструктуры маршрутизации интернета, в первую очередь протокола динамической маршрутизации (BGP).
Американский регистратор интернет-номеров (American Registry for Internet Numbers, ARIN), управляющий критически важной инфраструктурой RPKI, объявил о проведении обслуживания RPKI. В июле нынешнего года (число намеренно не сообщается) RPKI будет отключена примерно на тридцать минут, чтобы проверить, придерживаются ли сети передовой практики BGP.
Обоснование данного «упражнения» состоит в следующем — если критически важный RPKI, на который полагаются многие компании, когда-либо столкнется с перебоями в работе или отключениями, сети должны быть готовы вернуться к маршрутизации.
«Мы рекомендуем операторам, использующим данные репозитория ARIN RPKI, следовать передовым методам, описанным в документе RFC 7115/BCP 185. В частности, возвращаться к маршрутизации по непроверенным объявлениям (т.е. состоянию «Ошибка 404») в отсутствие доступности данных RPKI», — сообщили эксперты.
Таким образом, организации, которые полагаются на классификацию маршрутов ARIN RPKI, должны пересмотреть свою операционную модель до следующего месяца, когда произойдет неожиданное техническое обслуживание.
Одно найти легче, чем другое. Спойлер: это не темная материя