Este documento descreve as melhores práticas e lições aprendidas relacionadas à Infraestrutura de Chave Pública de Recursos (RPKI). Este fornece recomendações gerais destinadas a dar suporte à implementação e operação do RPKI em diversos ambientes.
Esses conhecimentos são extraídos de experiências práticas e discussões colaborativas, mas não pretendem ser prescritivos. Os operadores e as partes interessadas devem adaptar as orientações de acordo com seus contextos técnicos, organizacionais e políticas específicas.
As recomendações apresentadas aqui devem ser vistas como um ponto de partida para a tomada de decisões informada, em vez de uma abordagem definitiva ou universal.
Se você estiver usando o modo delegado (às vezes chamado de auto-hospedado), é altamente recomendável usar um servidor de publicação do RPKI fornecido pela sua Autoridade de Certificação (CA) parent, se disponível, para simplificar as operações.
Nota: a publicação como serviço está disponível para membros do ARIN, APNIC e RIPE NCC.
Para quais prefixos devo criar Autorizações de Origem de Rota (ROA)?
O ideal é criar ROA que correspondam exatamente ao que você está anunciando no Protocolo de Gateway da Borda (BGP) e nada mais (consulte as Perguntas Frequentes sobre o RPKI de ARIN, o Guia de Implementação das Normas MANRS de RIPE e a Capacitação sobre Implementação de RPKI da Academia APNIC).
No entanto, pode haver circunstâncias em que seja necessário criar ROA para espaço que não esteja atualmente visível no BGP. Por exemplo, os serviços de blackholing para mitigação de ataques distribuídos de negação de serviço (DDoS) podem requerer a criação de ROA específicos que poderiam não corresponder ao que você está anunciando no BGP.
Que valor devo inserir no campo maxLength?
maxLength é um campo opcional nos ROA que representa o comprimento máximo do prefixo IP que o Sistema Autônomo (AS) de origem está autorizado a anunciar.
O ideal é usar um valor maxLength que faça com que o ROA criado cubra os prefixos anunciados no BGP e nada mais. O uso de maxLength é considerado prejudicial se não é anunciado também cada prefixo mais específico permitido. O uso excessivo de maxLength nos ROA expõe você a um sequestro de subprefixo de origem falsificada.
Por mais informações sobre o uso de maxLength, consulte a RFC 9319.
Como devo criar os ROA para prefixos sobrepostos?
Se você estiver anunciando prefixos sobrepostos no BGP, primeiro crie ROA para os prefixos mais específicos e depois trabalhe para atrás até os prefixos agregados.
Minha organização não possui um número de AS (ASN) público. Nossos prefixos são originados pelo nosso provedor upstream.
Se seus prefixos forem originados pelo seu provedor upstream, você pode usar serviços RPKI hospedados e criar ROA usando o ASN de seu provedor upstream como AS de origem.
Como posso verificar o impacto do ROA que acabei de criar?
Após criar um ROA, é recomendável verificar que os prefixos tenham sido assinados corretamente e que nenhuma rota BGP tenha sido invalidada. Para fazer isso, use um validador, um monitor NTT, BGPmon, a ferramenta de validação de origem do LACNIC ou outra ferramenta equivalente (consulte a capacitação sobre implementação do RPKI da Academia APNIC e as Perguntas Frequentes sobre o RPKI do LACNIC).
Melhores práticas para a implantação da ROV
Como devo abordar a implantação da Validação de Origem de Rota (ROV) na minha rede?
Se você está apenas começando a usar o ROV, pode fazê-lo com cautela monitorando os estados de validade das rotas. Valide os anúncios BGP dos seus clientes contra os ROA do RPKI.
Depois, você pode começar a marcar os anúncios BGP, opcionalmente modificando os valores de preferência, e comunicar aos seus clientes que em breve começará a descartar anúncios BGP inválidos. Uma vez que você estiver confiante o suficiente sobre sua configuração, pode começar a descartar os anúncios inválidos.
Recomenda-se usar vários validadores de RPKI.
Todos os roteadores que suportam ROV permitem especificar múltiplos validadores de RPKI para redundância. Recomenda-se executar várias instâncias, de preferência de editores independentes e em sub-redes separadas. Dessa forma você não dependerá de um único cache (consulte a Capacitação sobre Implementação do RPKI da Academia APNIC e as Perguntas Frequentes sobre RPKI no ReadTheDocs).
ROA AS0 para espaço não designado.
Alguns Registros Regionais da Internet (RIR) possuem âncoras de confiança (TA) AS0 para espaço não designado (APNIC e LACNIC a partir de julho de 2025). Devido aos riscos potenciais, recomenda-se que essas âncoras de confiança sejam usadas apenas para fins de monitoramento ou alerta, e não para filtragem automática.
Para obter mais informações sobre como implementar e operar a validação de origem de rotas, consulte a RFC 7115.
Compartilhe seus comentários
As melhores práticas do RPKI e lições aprendidas descritas neste documento foram consolidadas a partir de diferentes fontes. Agradecemos a contribuição da comunidade técnica para ajudar a melhorar a relevância e a clareza deste documento. Se você tiver algum comentário, dúvida ou sugestão, não hesite em entrar em contato conosco. Para compartilhar seus comentários, escreva para rpki_program [at] nro.net
Suas contribuições são valiosas e ajudarão a garantir que futuras atualizações reflitam uma ampla gama de perspectivas operacionais e melhores práticas em constante evolução.
Sofia Silva Berenguer é Program Manager do Programa RPKI da NRO. Esta nota foi publicada originalmente pela NRO.
