Qu'est-ce la RPKI ?
RPKI est l’acronyme de Resource Public Key Infrastructure. Il s’agit d’un cadre d’infrastructure à clé publique qui est de plus en plus utilisé pour sécuriser l’infrastructure de routage d'Internet. Elle est souvent implémentée en parallèle au Border Gateway Protocol, pour disposer d’un instrument permettant de valider les routes reçues. Elle relie les informations sur les ressources Internet (principalement les adresses IP) à un point d’ancrage de confiance et, à ce titre, constitue une prévention contre le détournement de route et d’autres attaques.
BGP est un protocole de routage vulnérable et, à mesure qu'Internet se développait, de plus en plus de cas de détournement de routes ont été observés. Cela signifie qu’un système autonome annonçait sur Internet des routes frauduleuses, perturbant ainsi le service et pouvant nuire à des utilisateurs ou des réseaux individuels. C’est pourquoi l’IETF a fourni un moyen sûr de certifier les ressources de numéros d’Internet allouées afin de sécuriser le routage. L’Internet Architecture Board considère qu’une « RPKI correctement conçue et déployée est une condition préalable absolue pour disposer d’un système de routage mondial sécurisé, qui est à son tour une condition préalable pour disposer d’un Internet mondial fiable ».
La base de cette architecture est une ROA ou Route Origin Authorization. Il s’agit d’une pièce jointe d’une annonce de route, qui peut être vérifiée de manière cryptographique à l’aide de la RPKI.
La RPKI chez Belnet et BNIX
Belnet, le réseau belge de la recherche, a implémenté la RPKI sur l’ensemble de ses frontières. L’infrastructure a été mise en place en 2020 et utilise 2 serveurs RPKI pour valider les routes entrantes. Cette infrastructure est également utilisée par les serveurs de routage du BNIX depuis le début de l’année 2022. En plus du filtrage IRRDB déjà en place, nous avons ajouté une nouvelle couche de sécurité aux routes apprises via les serveurs de routage.
Une route ne sera abandonnée que si un certificat existe pour une certaine ressource de numéro Internet et n’est pas validé correctement.
L’absence de RPKI ne reflétera pas une baisse de l’annonce de route, mais nous recommandons fortement d'implémenter cette architecture dans votre réseau pour augmenter la sécurité du routage sur Internet.