Стандарт RPKI - новый инструмент для борьбы с хакерами и поддержания безопасности трафика.
RPKI ( Resource Certification ) защищает от ошибочного перенаправления интернет-трафика посредством криптографической проверки маршрутов. Стандарт использует цифровые сертификаты для защиты протокола пограничного шлюза (BGP), используемого для обмена информацией о маршрутизации, и гарантирует, что трафик проходит через легитимного сетевого оператора, контролирующего IP-адреса на пути назначения.
Форум по стандартизации в Нидерландах объявил, что к 2024 году все коммуникационные устройства, управляемые правительством Нидерландов, должны использовать стандарт RPKI. Правительство поддержало эту рекомендацию и приняло политику, которая касается как вновь добавленного ИКТ-оборудования, так и существующих систем.
RPKI-сертификаты хранятся централизованно и общедоступны, что позволяет сетевым провайдерам из любой точки мира проверять маршруты интернет-трафика. Интернет-трафик в сетях, которые реализуют RPKI, направляется только по авторизованным путям, что устраняет риски MiTM-атаки («человек посередине») или утечки и перехвата данных.
Без RPKI интернет-маршрутизация зависит от доверия сетевых операторов, рекламирующих правильные IP-префиксы, которыми они управляют. Но если оператор ложно объявляет, что он обрабатывает определенный набор IP-адресов, он будет получать трафик, который в противном случае пошел бы по другому пути.
Помимо влияния на производительность (например, задержки в сети, сбои), модель на основе доверия позволяет злоумышленникам перехватывать BGP и отслеживать трафик, а также подделывать законные IP-адреса для рассылки спама. Один из примеров перехвата BGP произошёл в 2019 году, когда сетевой трафик от голландского интернет-провайдера KPN более двух часов перенаправлялся на China Telecom.
Уровень внедрения RPKI в Нидерландах уже составляет 77,9% государственных веб-сайтов и 75,1% доменов электронной почты уже поддерживают этот стандарт. Однако глобальное внедрение RPKI продвигается медленнее, чем надеялись его разработчики и сторонники, и интернет-провайдеры второго уровня отстают.
По данным NIST за апрель 2023 года, около 41% поддающихся проверке пар префикс-источник IPv4 соответствуют RPKI, 58% подвержены инцидентам маршрутизации, а 1% имеют несоответствие в своих ключах источника маршрута, поэтому они недействительны.
Стоит отметить, что в 2021 году из-за масштабной утечки маршрутов BGP тысячи крупных сайтов и сетей по всему миру оказались недоступными . Хотя инцидент произошел с автономной системой Vodafone (AS55410) в Индии, он затронул крупные компании в США, включая Google.
Инцидент длился 10 минут, и в течение этого времени пользователи по всему миру испытывали трудности с подключением к интернет-ресурсам с IP-адресами в утекших маршрутах, ошибочно направлявших трафик на автономную систему AS55410 в Индии. Эксперт в области BGP Анураг Бхатия (Anurag Bhatia) идентифицировал 20 тыс. префиксов по всему миру, затронутых инцидентом.
Никаких овечек — только отборные научные факты