RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas...
Transcript of RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas...
![Page 1: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/1.jpg)
![Page 2: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/2.jpg)
RPKI: Uma proteção para roubo
de prefixos no BGP
![Page 3: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/3.jpg)
Agenda Motivação e conceitos fundamentais
● Parte I: Motivação○ Problemas de segurança
em roteamento■ BGP Hijacking
○ MANRS■ RPKI
● Parte II: Conceitos fundamentais○ Conceitos de roteamento
■ BGP○ Conceitos de segurança
■ Criptografia■ Certificação digital
![Page 4: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/4.jpg)
● Parte III: Certificação de recursos ○ Componentes do RPKI
■ ROAs○ Modos de operação○ Como entrar na cadeia de
certificação do NIC.br?○ Como anunciar seus
recursos no RPKI do NIC.br?
● Parte IV: Validação na origem ○ Como é feita a validação?
■ Tipos de rotas○ Conversa sobre Boas
práticas/ Recomendações■ Políticas em relação às
rotas validadas
Agenda RPKI
![Page 5: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/5.jpg)
Parte IMotivação
![Page 6: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/6.jpg)
Problemas de segurança em roteamento
![Page 7: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/7.jpg)
https://www.internetsociety.org/blog/2018/11/route-leak-caused-a-major-google-outage/
https://www.internetsociety.org/blog/2017/08/google-leaked-prefixes-knocked-japan-off-internet/
Ataques na mídia nos últimos anos
https://www.internetsociety.org/blog/2018/04/amazons-route-53-bgp-hijack/
https://dyn.com/blog/widespread-impact-caused-by-level-3-bgp-route-leak/
https://twitter.com/bgpmon/status/846087079763177472
![Page 9: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/9.jpg)
● A Internet funciona com base na cooperação entre Sistemas Autônomos (ASes):
○ É uma “rede de redes”○ São mais de 60.000 redes diferentes,
sob gestões técnicas independentes○ A estrutura de roteamento BGP funciona
com base em cooperação e confiança○ O BGP não tem validação dos dados
Por que isso acontece?
![Page 10: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/10.jpg)
BGP Hijacking
● Anúncio de prefixos não autorizados○ "Sequestro do prefixo"
● Motivos:○ Erro de configuração○ Fat finger○ Proposital
![Page 11: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/11.jpg)
BGP Hijacking
Caso notável:
2008 - Pakistan Telecom (AS 17557)
● Anuncia o prefixo 208.65.153.0/24 sem autorização○ Tráfego do Youtube é redirecionado para o
Paquistão (https://youtu.be/IzLPKuAOe50)
![Page 12: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/12.jpg)
Cenário inicialROTAS:
2001:db8::/32 65537 65538 i
AS 65536 AS 65537 AS 65538
Eu tenho 2001:db8::/32
![Page 13: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/13.jpg)
Cenário inicialROTAS:
2001:db8::/32 65537 65538 i
AS 65536 AS 65537 AS 65538
Enviar para 2001:db8::1
![Page 14: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/14.jpg)
Problema 1ROTAS:
2001:db8::/32 … 65537 i
2001:db8::/48 … 65540 i
AS 65536 AS 65537
Eu tenho 2001:db8::/32
AS 65540
Eu tenho 2001:db8::/48
Verdadeiro dono
Falso dono
![Page 15: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/15.jpg)
Problema 1ROTAS:
2001:db8::/32 … 65537 i
2001:db8::/48 … 65540 i
AS 65536 AS 65537
Enviar para 2001:db8::1
Eu tenho 2001:db8::/32
AS 65540
Eu tenho 2001:db8::/48
???Verdadeiro
dono
Falso dono
![Page 16: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/16.jpg)
Problema 1ROTAS:
2001:db8::/32 … 65537 i
2001:db8::/48 … 65540 i
AS 65536 AS 65537
Enviar para 2001:db8::1
Eu tenho 2001:db8::/32
AS 65540
Eu tenho 2001:db8::/48
Verdadeiro dono
Falso dono
Mais específico!
![Page 17: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/17.jpg)
Problema 2ROTAS:
2001:db8::/32 … 65544 65538 i
2001:db8::/32 … 65540 i
AS 65536
Eu tenho 2001:db8::/32
AS 65540
Eu tenho 2001:db8::/32
AS 65544 AS 65538
Verdadeiro dono
Falso dono
![Page 18: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/18.jpg)
Problema 2ROTAS:
2001:db8::/32 … 65544 65538 i
2001:db8::/32 … 65540 i
AS 65536
Eu tenho 2001:db8::/32
AS 65540
Eu tenho 2001:db8::/32
AS 65544 AS 65538
Enviar para 2001:db8::1
???
Verdadeiro dono
Falso dono
![Page 19: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/19.jpg)
Problema 2ROTAS:
2001:db8::/32 … 65544 65538 i
2001:db8::/32 … 65540 i
AS 65536
Eu tenho 2001:db8::/32
AS 65540
Eu tenho 2001:db8::/32
AS 65544 AS 65538
Enviar para 2001:db8::1
Verdadeiro dono
Falso dono
Mais curto!
![Page 20: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/20.jpg)
Como resolver esses problemas???
![Page 21: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/21.jpg)
MANRS● Mutually Agreed Norms for Routing Security (MANRS)● Iniciativa global ● Apoio da ISOC● Consiste em 4 coisas básicas
○ Filtros○ Anti-Spoofing○ Coordenação○ Validação Global
![Page 22: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/22.jpg)
MANRS● Site do Projeto https://www.manrs.org/ ● Você pode assinar o projeto
○ Solicite que seus clientes e upstreams também assinem o projeto https://www.manrs.org/participants/
● Faça o tutorial https://www.manrs.org/tutorials/ ● Resource Public Key Infrastructure
(RPKI) faz parte do MANRS!!!
![Page 23: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/23.jpg)
Resource Public Key Infrastructure (RPKI)
![Page 24: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/24.jpg)
O que é RPKI?
● Estrutura desenvolvida para validar recursos de numeração○ ASN e Prefixos IPs
■ Alocados○ Utilizado no BGP
● Previne os problemas de:○ BGP Hijacking
● A colaboração de todos os ASes é essencial!!!
![Page 25: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/25.jpg)
O que é RPKI?ROTAS:
2001:db8::/32 … 65538 i
2001:db8::/48 … 65540 i
AS 65538
Eu tenho 2001:db8::/32
AS 65540
Eu tenho 2001:db8::/48
Verdadeiro dono
Quem é o verdadeiro
dono?
Falso dono
AS 65536
![Page 26: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/26.jpg)
O que é RPKI?ROTAS:
2001:db8::/32 … 65538 i
2001:db8::/48 … 65540 i
AS 65538
Eu tenho 2001:db8::/32
AS 65540
Eu tenho 2001:db8::/48
Verdadeiro dono
O RPKI validou o
AS 65538!
Falso dono
AS 65536
Válido
Inválido
![Page 27: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/27.jpg)
RPKI
Vídeo - Resource Certification Explained (NRO)
● https://youtu.be/rH3CPosGNjY
Vídeo - Why it's time to deploy RPKI
● https://youtu.be/Y9vbbxr-GbI
![Page 28: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/28.jpg)
Colaboração é essencial: Adoção do RPKI
Fonte: https://www.nlnetlabs.nl/projects/rpki/rpki-analytics/
![Page 29: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/29.jpg)
Validação de rotasAnálise da tabela completa do BGP em relação aos prefixos anunciados nos RPKIs
Fonte: https://rpki-monitor.antd.nist.gov/?p=0&s=0
![Page 30: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/30.jpg)
Parte IIConceitos fundamentais
![Page 31: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/31.jpg)
● Definida na RFC 4271 - Border Gateway Protocol● Protocolo de Roteamento usado para trocar informações
dos caminhos entre as diferentes redes, isto é, redes sob gerência de Sistemas Autônomos ou Autonomous Systems (AS) distintos.
O que é BGP?
![Page 32: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/32.jpg)
● O BGP é um protocolo do tipo “path vector”● Trabalha com updates incrementais● Tem várias opções diferentes para implementação de
políticas de tráfego● Usa o Classless Inter-Domain Routing (CIDR)● Usado no backbone da Internet pelos ASes
O que é BGP?
![Page 33: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/33.jpg)
● O BGP:○ Aprende os diversos caminhos por meio dos
protocolos iBGP e eBGP
○ Seleciona o melhor caminho e coloca-o na tabela Routing Information Base (RIB)
○ O melhor caminho é enviado para os vizinhos externos (eBGP)
○ Políticas são aplicadas para influenciar a seleção do melhor caminho
Funcionamento do BGP
![Page 34: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/34.jpg)
● Uma rota é composta pela informação de destino e do caminho (path) até o destino, incluindo diversos atributos desse caminho.
O que é path vector?
AS-PATH65539 65540 65538 i
![Page 35: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/35.jpg)
BGP● Após a configuração, confia-se que as rotas anunciadas
estão corretas● Um anúncio pode influenciar escolha do melhor
caminho○ Prefixo mais específico○ Menor caminho○ Políticas internas
![Page 36: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/36.jpg)
● AS-PATH○ Bem conhecido e mandatório○ Indica o caminho para se chegar a um destino,
incluindo todos os ASes intermediários○ Enviado em mensagens de UPDATE
■ Junto com o AS de origem do anúncio (origin-as).○ É usado para:
■ Detectar loops■ Aplicar políticas
BGP
![Page 37: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/37.jpg)
Conceitos de Segurança e certificação digital
![Page 38: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/38.jpg)
Criptografia simétrica
● Transformação matemática inversível cujo cálculo depende, no sentido direto (cifração) e no sentido inverso (decifração), de uma mesma informação secreta: a chave criptográfica.
● Provê apenas confidencialidade.
![Page 39: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/39.jpg)
Criptografia assimétrica
● Formada por duas chaves criptográficas distintas e relacionadas○ Chave pública: amplamente conhecida
○ Chave privada: segredo do seu dono
● Transformações feitas usando uma chave somente podem ser invertidas com a outra chave.
![Page 40: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/40.jpg)
Criptografia assimétrica
● Cifração: confidencialidade
![Page 41: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/41.jpg)
Criptografia assimétrica
● Assinatura digital: integridade, autenticidade e irretratabilidade
![Page 42: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/42.jpg)
Como garantir a credibilidade de uma chave pública?
![Page 43: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/43.jpg)
Certificados digitais● Documento que associa a chave pública com o seu dono. ● Modelo ICP (infraestrutura de Chaves Públicas) ou
PKI (Public Key Infrastructure): certificado contém chave pública de Bob assinada por uma Autoridade Certificadora ou Certificate Authority (CA).
![Page 44: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/44.jpg)
Infraestrutura de Chaves Públicas● Modelo PKI: cadeias de certificação
○ CA são entidades confiáveis e sua chaves públicas são amplamente conhecidas!
○ Usa-se a chave da CA raiz (auto-assinado) para assinar outras chaves na cadeia até as entidades finais ou End Entities (EEs).
○ Proteção das chaves mais críticas (mais próximas da raiz).
![Page 45: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/45.jpg)
Cadeia de certificaçãoCertificado Raiz
Nome da CA raiz
Chave pública
Assinaturaauto-assinada
Certificado Intermediário
Nome do dono da CA
Chave pública do dono
Assinatura do emissor 1
Nome do emissor 1
1 - o emissor é a CA raiz2 - o emissor é o dono do Certificado intermediário
Chave privada
assina
Certificado End-Entity
Nome do dono da CA
Chave pública do dono
Assinatura do emissor 2
Nome do emissor 2
assina
Chave privada
Chave privada
...
![Page 46: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/46.jpg)
Processo de certificação PKI
1. Gera o par de chave.
Autoridade de Registro
(RA)
2. Envia dados cadastrais.
Autoridade Certificadora
(CA)
Diretório
3. RA comprova dados cadastrais.
4. CA emite o certificado,
assinando-o com sua própria chave.
5. Certificado é instalado no cliente e publicado
no diretório.
Ex.: OAB Ex.: Certisign
![Page 47: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/47.jpg)
● X.509○ Padrão utilizado para criação dos
certificados no modelo PKI.
● CRL (Certificate Revocation List)○ "Lista negra" de certificados que tiveram
suas chaves privadas comprometidas e não expiraram ainda.
Outros detalhes de PKI
Certificado X.509
- Versão- Número de série- ID Algoritmo - Certificador- Tempo de validade- Chave pública- Informações do dono da chave- ...
![Page 48: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/48.jpg)
Parte IIIRPKI: certificação
de recursos
![Page 49: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/49.jpg)
Certificação de Recursos
RPKI: Certificar as alocações de IPs e ASNs ● Como?
■ Aproveitar a hierarquia de alocação de recursos existente
■ Cadeia de certificação■ Certificados X.509 + extensão para IPs e ASNs
(RFC 3779) - Resource Certification● Validar as chaves públicas e recursos
![Page 50: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/50.jpg)
Distribuição de recursos numéricos
![Page 51: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/51.jpg)
Cadeia de certificação do RPKI
Cada RIR pode ser uma fonte autoritativa para a alocação de recursos
● Delegação de endereços IPs (IPv4 e IPv6)● Delegação de ASNs
Funcionam como CA do par IPs-ASN e da chave pública do AS
![Page 52: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/52.jpg)
Cadeia de certificação do RPKI● RIRs
○ Trust Anchor■ Confiabilidade implicita■ Certificados auto-assinados
○ Certificam somente os recursos de sua própria hierarquia
CA-raíz (RIRs)
CA filha (NIRs)
CA filha(LIRs/ISPs)
JPNIC
![Page 53: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/53.jpg)
Cadeia de certificação do RPKI
● CAs certificam○ Organizações que distribuem recursos de numeração○ Detentores de recursos de numeração
● Certificados das End Entities ○ Validam os documentos assinados contidos no
repositório RPKI ○ Cada certificado assina um documento
![Page 54: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/54.jpg)
Documentos do repositório RPKI
● Certificados digitais● Certificate Revocation List (CRL) - RFC 5280● Route Origin Authorisation (ROA) - RFC 6482
○ Contém a lista de prefixos que podem ser anunciados por um ASN
● Manifest - RFC 6486○ Contém a lista de documentos assinados por um AS
![Page 55: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/55.jpg)
Documentos do repositório RPKI
Com base nas informações contidas nos arquivos do repositório RPKI, é possível estabelecer as políticas de roteamento que aumentam a segurança no BGP.
![Page 56: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/56.jpg)
ROAs● Route Origin Authorisation
○ Objeto assinado
“Eu autorizo o ASN XXXX a originar esse prefixo”.
Elementos principais:● Nome da ROA● Número do AS (ASN)● Prefixo alocado e máximo permitido● Tempo de validade● Assinatura da organização dona dos recursos
Prefixo <IP>/<prefixo>
ASN XXXX
Prefixo Max /<prefixo>
Assinatura da organização
Tempo de validade TTTT
ROA da organização
![Page 57: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/57.jpg)
ROAs● Todos os prefixos anunciados devem estar
cadastrados em um ou mais ROAs○ Assinados e guardados em um repositório RPKI
■ Certificado contendo recursos de numeração■ Declarações da origem das rotas para esses recursos
● Cada ROA contém apenas um ASN○ Prefixos podem possuir mais de um ROA
![Page 58: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/58.jpg)
ROAs
● Alocações no ROA devem vir da organização responsável pelos recursos (CA)
● Armazenados em repositórios públicos confiáveis
![Page 59: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/59.jpg)
ROAs● E se uma organização quiser alocar seus recursos para
outros ASes?● Duas opções:
1. Gerar a ROA para os próprios anúncios do seu ASN2. Gerar um certificado CA para outra organização
(e.g. AS cliente), então essa gera a própria ROA
● Se existir ROA para o prefixo, a origem da rota é validada
● Publicar ROA incorreta é pior do que não publicar!
![Page 60: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/60.jpg)
Manutenção é essencial!
Não esqueça do RPKI! Atualize as ROAs quando
mudar os anúncios!
![Page 61: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/61.jpg)
Modos de operação no RPKI
● Existem dois modos de operação no RPKI:○ Modo hospedado
■ LACNIC○ Modo delegado
■ NIC.br
![Page 62: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/62.jpg)
Modo Hospedado● Incentivar a adoção do RPKI● RIRs
○ Emitem e armazenam os certificados de recursos○ Armazenam as chaves públicas e privadas○ Oferecem interface web para os participantes
● AS depende do RIR para realizar suas ações no RPKI
![Page 63: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/63.jpg)
Exemplo passo a passo do sistema do LACNIChttps://www.google.com/url?q=https://www.lacnic.net/innovaportal/file/778/1/manual_usuario_rpki_beta_sp_v1.pdf&sa=D&ust=1576099969191000&usg=AFQjCNFmumg8_2N83kSJuQO9pjcjkOmLBw
Modo Hospedado
1. Acessa a interface do
sistema do RIR.
2. Faz a solicitação para o RIR.
4. RIR armazena a chave privada do usuário no
repositório.
5. RIR emite o certificado e armazena no
diretório.
3. RIR gera o par de chaves
do usuário.
Repositório secreto do RIR
Diretório para consulta dos certificados
![Page 64: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/64.jpg)
Modo Delegado● Sistema distribuído de CAs
○ Foi desenhado para ser assim● Facilita a automatização● Centraliza o gerenciamento das ROAs na organização
dona dos recursos● Controle da chave privada pelo AS● Permite delegar CAs filhos para clientes ● AS tem mais autonomia no RPKI
![Page 65: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/65.jpg)
Modo Delegado● Protocolo UpDown
○ Geração e validação do repositório○ Cada CA armazena a própria chave privada ○ Envia seus certificados para assinatura da CA pai○ Publicação de certificados e ROAs
■ Repositório próprio ou de terceiros
![Page 66: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/66.jpg)
Modo DelegadoO que eu preciso?
● Software CA○ Krill - NLnet Labs○ rpkid - Dragon Research Labs
● Servidor de publicação○ Próprio (alta disponibilidade) ou de terceiros (NIC.br)
![Page 67: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/67.jpg)
Componentes principais para adotar o RPKI
● Autoridade Certificadora (CA)● Servidores de publicação (repositórios)● Relying Party (RP) / Validador● Roteadores com suporte RPKI
![Page 68: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/68.jpg)
Certificação de recursos e publicação
RPKI
CAPublicador
Cliente
Rede AS
RepositórioRPKI
ROAsManifesto
CRLs
Autoridades Certificadoras
RIR/NIR
Validador
![Page 69: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/69.jpg)
Papel da Organização no RPKI
● Certificar recursos○ São CA dos próprios recursos○ Geram e assinam ROAs○ Disponibilizam certificados e ROAs em um
repositório público
![Page 70: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/70.jpg)
Papel da Organização no RPKI
● Validar o originador do prefixo no BGP○ Verificam a validade dos objetos assinados○ Enviam validações para os roteadores○ Configuram roteadores para utilizar RPKI ○ Utilizam os dados do RPKI para decisões de
roteamento■ Filtros■ Communities
![Page 71: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/71.jpg)
RPKI: Recapitulando
CAPublicador
Cliente
Rede AS
RepositórioRPKI
ROAsManifesto
CRLs
Autoridades Certificadoras
Pai
Certificação de recursos e publicação
RIR/NIR
![Page 72: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/72.jpg)
O que é o ?● Software open source
○ Criação, gerenciamento, publicação de CAs e ROAs● Possui repositório próprio, mas permite a utilização de
repositório de terceiros● Atualmente, funciona apenas por linha de comando
○ Em breve terá interface gráfica para usuário
![Page 73: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/73.jpg)
Instalação do ● Duas opções
OU
Fonte: https://rpki.readthedocs.io/en/latest/krill/installation.html
++
C toolchain
![Page 74: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/74.jpg)
Subindo o servidor Passo inicial
$ krill -c krill.conf
![Page 75: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/75.jpg)
Cadastrando uma CA com Krill1. Criar CA do AS 65536 pelo cliente Krill do AS 65536$ krillc add --server <URL> --token <senha> --ca <nome>
AS 65536 NIC.br
Servidor Krill do NIC.br
Servidor Krill do AS 65536
Cliente Krill do AS 65536
1. Cria sua CA
![Page 76: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/76.jpg)
Cadastrando uma CA com Krill2. Consultar XML child_request para estabelecer a comunicação UpDown entre o AS 65536 e o NIC.br$ krillc parents myid --server <URL> --token <senha> --ca <nome>
NIC.br
Servidor Krill do NIC.br
2. Consultar XML para estabelecer a
comunicação UpDown
Cliente Krill do AS 65536
AS 65536
Servidor Krill do AS 65536
![Page 77: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/77.jpg)
Cadastrando uma CA com Krill3. Enviar XML child_request para o sistema do NIC.br
NIC.br
Servidor Krill do NIC.br
3. Envia XML child_request
Cliente Krill do AS 65536
AS 65536
Servidor Krill do AS 65536
![Page 78: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/78.jpg)
Cadastrando uma CA com Krill3. Enviar XML child_request para o sistema do NIC.br
3.1. Login no sistema do Registro.br > Titularidade
![Page 79: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/79.jpg)
Cadastrando uma CA com Krill3. Enviar XML child_request para o sistema do NIC.br
3.2. Titularidade > RPKI
![Page 80: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/80.jpg)
Cadastrando uma CA com Krill3. Enviar XML child_request para o sistema do NIC.br
3.3. RPKI > enviar o child_request
![Page 81: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/81.jpg)
Cadastrando uma CA com Krill4. Servidor Krill do NIC.br registra XML child_request do AS 65536
NIC.br
Servidor Krill do NIC.br
4. Registra XML child_requestCliente Krill
do AS 65536
AS 65536
Servidor Krill do AS 65536
![Page 82: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/82.jpg)
Cadastrando uma CA com Krill
NIC.br
Servidor Krill do NIC.br
5. Retorna XML parent_response
5. Retorna XML parent_response do AS 65536
Cliente Krill do AS 65536
AS 65536
Servidor Krill do AS 65536
![Page 83: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/83.jpg)
Cadastrando uma CA com Krill
NIC.br
Servidor Krill do NIC.br
6. Recebe XML parent_response
6. AS 65536 recebe XML parent_response
Cliente Krill do AS 65536
AS 65536
Servidor Krill do AS 65536
![Page 84: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/84.jpg)
Cadastrando uma CA com Krill6. AS 65536 recebe XML parent_response
![Page 85: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/85.jpg)
Cadastrando uma CA com Krill
NIC.br
Servidor Krill do NIC.br
7. Configura XML parent_response
7. AS 65536 configura XML parent_response no seu Servidor Krill $ krillc parents add --server <URL> --token <senha> --ca <nome> --parent <nome> --rfc8183 <arquivo XML>
Cliente Krill do AS 65536
AS 65536
Servidor Krill do AS 65536
![Page 86: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/86.jpg)
Cadastrando uma CA com Krill
NIC.br
Servidor Krill do NIC.br
8. Estabelece canal UpDown
8. Sincroniza Servidor Krill do AS 65536 com o Servidor Krill do NIC.br, criando o canal de comunicação UpDown para a troca de informações das CAs
Cliente Krill do AS 65536
AS 65536
Servidor Krill do AS 65536
![Page 87: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/87.jpg)
Criação de ROAs no Krill1. Criar arquivo texto de modificação das ROAs de um ASN ou mais
# Some comment # Indented comment
A: Y.Y.Y.Y/24 => XXXXA: W:W:W::/48 => XXXXA: Y.Y.Y.Y/16-20 => XXXX # Add prefix with max lengthR: Y.Y.Y.Y/24 => XXXX # Remove existing authorization
Fonte: https://rpki.readthedocs.io/en/latest/krill/manage-cas.html#roas
![Page 88: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/88.jpg)
Criação de ROAs no Krill1. Criar arquivo texto de modificação das ROAs de um ASN ou mais
NIC.br
Servidor Krill do NIC.br
1. Cria arquivo da ROA
Cliente Krill do AS 65536
AS 65536
Servidor Krill do AS 65536
Canal UPDOWN
![Page 89: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/89.jpg)
Criação de ROAs no Krill2. Publica a ROA no servidor Krill local do ASN 65536$ krillc roas update --server <URL> --token <senha> --ca <nome> --delta <arquivo TXT>
NIC.br
Servidor Krill do NIC.br
2. Publica a ROA Cliente Krill
do AS 65536
AS 65536
Servidor Krill do AS 65536
![Page 90: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/90.jpg)
Criação de ROAs no Krill3. (Opcional) Publica a ROA no servidor Krill remoto do NIC.br3.1. Consultar o XML publisher_request$ krillc repo request --server <URL> --token <senha> --ca <nome>
NIC.br
Servidor Krill do NIC.br
3.1. Consulta XML publisher_request
Cliente Krill do AS 65536
AS 65536
Servidor Krill do AS 65536
![Page 91: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/91.jpg)
Criação de ROAs no Krill
NIC.br
Servidor Krill do NIC.br
3.2. Envia XML publisher_request
Cliente Krill do AS 65536
AS 65536
Servidor Krill do AS 65536
3.2. Envia do XML publisher_request para o sistema do NIC.br
![Page 92: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/92.jpg)
Criação de ROAs no Krill3.2. Envia do XML publisher_request para o sistema do NIC.br
![Page 93: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/93.jpg)
Criação de ROAs no Krill3.3. Servidor Krill do NIC.br registra XML publisher_request do AS 65536
NIC.br
Servidor Krill do NIC.br
3.3. Registra XML publisher_request
Cliente Krill do AS 65536
AS 65536
Servidor Krill do AS 65536
![Page 94: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/94.jpg)
Criação de ROAs no Krill3.4. Retorna XML repository_response
NIC.br
Servidor Krill do NIC.br
3.4. Retorna XML repository_response
Cliente Krill do AS 65536
AS 65536
Servidor Krill do AS 65536
![Page 95: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/95.jpg)
Criação de ROAs no Krill3.5. Recebe o XML repository_response
NIC.br
Servidor Krill do NIC.br
3.5. Recebe XML repository_response
Cliente Krill do AS 65536
AS 65536
Servidor Krill do AS 65536
![Page 96: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/96.jpg)
Criação de ROAs no Krill3.5. Recebe o XML repository_response
![Page 97: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/97.jpg)
Criação de ROAs no Krill3.6. Configura o XML repository_response no Krill do ASN 65536 $ krillc repo update rfc8183 <arquivo xml> --server <URL> --token <senha> --ca <nome>
NIC.br
Servidor Krill do NIC.br
3.6. Configura XML repository_response
Cliente Krill do AS 65536
AS 65536
Servidor Krill do AS 65536
![Page 98: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/98.jpg)
NIC.br
Servidor Krill do NIC.br
3.7. Estabelece canal de publicação das ROAs Cliente Krill
do AS 65536
AS 65536
Servidor Krill do AS 65536
Criação de ROAs no Krill3.7. Sincroniza Servidor Krill do AS 65536 com o Servidor Krill do NIC.br, criando o canal de publicação das ROAs do AS 65536
![Page 99: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/99.jpg)
Como verificar existencia de ROAs$ whois -h whois.bgpmon.net 200.160.0.0
Prefix: 200.160.0.0/20
Prefix description: Registro.BR Network
Country code: BR
Origin AS: 22548
Origin AS Name: N?cleo de Inf. e Coord. do Ponto BR - NIC., BR
RPKI status: ROA validation successful
First seen: 2011-10-19
Last seen: 2019-12-11
Seen by #peers: 66
![Page 100: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/100.jpg)
Visualizando uma ROA
$ whois -h whois.bgpmon.net " --roa 22548 200.160.0.0/22"
0 - Valid
------------------------
ROA Details
------------------------
Origin ASN: AS22548
Not valid Before: 2019-12-12 17:20:05
Not valid After: 2020-12-12 17:25:05 Expires in
1y14h24m2.60000000149012s
Trust Anchor: rpki-repo.registro.br
Prefixes: 200.160.0.0/20 (max length /24)
![Page 101: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/101.jpg)
Parte IVRPKI: validação
na origem
![Page 102: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/102.jpg)
Certificação de recursos e publicação
RPKI: Recapitulando
CacheValidador
RPKI-to-Router Protocol
Rede AS
RepositórioRPKI
ROAsManifesto
CRLs
Autoridades Certificadoras
RIR/NIR
![Page 103: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/103.jpg)
RPKI: Validação da origem
CacheValidador
RPKI-to-Router Protocol
Rede AS
RepositórioRPKI
ROAsManifesto
CRLs
Autoridade Certificadoras
Validação da origem
![Page 104: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/104.jpg)
RPKI: Validação da origem
CacheValidador
RPKI-to-Router protocol
Rede AS 65536
RepositórioRPKI
ROAsManifesto
CRLs
2001:db8::/32 65537 65538 Válido
2001:db8::/48 65537 65540 Inválido
AS 65537
AS 65540
AS 65538
Eu tenho 2001:db8::/32
Eu tenho 2001:db8::/48
Valida aqui!
Prefixo 2001:db8::/32
ASN 65538
Prefixo Max /48
Assinatura da organização
Tempo de validade 1 ano
ROA
![Page 105: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/105.jpg)
RPKI: Validação da origem
● Validador○ Validação dos objetos certificados○ Software que acessa fontes confiáveis e cria um
cache da informação validada● Roteador
○ Validação das rotas○ BGP habilitado para usar o RPKI○ Obtém informações do validador e utiliza para
influenciar o roteamento
![Page 106: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/106.jpg)
● Conexão com repositórios confiáveis (RIPE, LACNIC,...)○ Rsync ou RPKI Repository Delta Protocol (RRDP)
● Cache ○ Atualizações periódicas
● Validação○ Verificação das assinaturas dos ROAs e certificados ○ Geração de Verified ROA Payloads (VRP)
● Envia VRPs para o roteador usando o protocolo RPKI-to-Router (RTR)
Validador
![Page 107: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/107.jpg)
Validador● Existem vários softwares disponíveis:
○ Routinator○ Dragon Research toolkit○ RIPE validator○ RTRlib (bird, FRR, Quagga...)○ OctoRPKI & GoRTR (Cloudflare)
![Page 108: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/108.jpg)
● Instalação: duas opções
OU
Fonte: https://rpki.readthedocs.io/en/latest/routinator/installation.html
++
C toolchain
![Page 109: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/109.jpg)
● Trust Anchor Locator (TAL) já vem incorporados○ Localizador para os 5 RIRs
■ ARIN necessário aceitar o termo de usoroutinator initBefore we can install the ARIN TAL, you must have readand agree to the ARIN Relying Party Agreement (RPA).It is available at
https://www.arin.net/resources/manage/rpki/rpa.pdf
If you agree to the RPA, please run the commandagain with the --accept-arin-rpa option.
routinator init --accept-arin-rpa
![Page 110: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/110.jpg)
● Verificando a base baixada
● Filtrar por AS
# routinator vrps
# routinator vrps --format csv --filter-asn <ASN># routinator vrps --format json --filter-asn <ASN>
![Page 111: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/111.jpg)
● Filtrando por prefixos
● Validar prefixo
# routinator vrps --format csv --filter-prefix <IP>/<prefixo># routinator vrps --format json --filter-prefix <IP>/<prefixo>
# routinator validate --asn <ASN> --prefix <IP>/<prefixo># routinator validate --json --asn <ASN> --prefix <IP>/<prefixo>
![Page 112: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/112.jpg)
● Executando o Routinator como servidor
○ HTTP
○ RTRroutinator server --rtr <IPv4>:<porta> --rtr [<IPv6>]:<porta>
routinator server --http <IPv4>:<porta> --http [<IPv6>]:<porta>
Fonte: https://rpki.readthedocs.io/en/latest/routinator/daemon.html
![Page 113: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/113.jpg)
Roteador● Suporte a validação na origem bastante amplo● Hardware
○ Juniper ■ Junos versão 12.2 e superiores
○ Cisco■ IOS release 15.2 e superiores■ Cisco IOS/XR desde a 4.3.2
○ Nokia■ Release R12.0R4 e superiores rodando no 7210
SAS, 7750 SR, 7950 XRS ou VSR.
![Page 114: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/114.jpg)
Roteador● Existem vários softwares com suporte a RPKI:
○ BIRD○ OpenBGPD○ FRRouting○ GoBGP○ VyOS
Fonte: https://rpki.readthedocs.io/en/latest/rpki/router-support.html
![Page 115: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/115.jpg)
Roteador● Recebem VRPs do validador e utilizam para tomar
decisões de roteamento● Uma rota pode ser classificada como:
○ Válida: A origem e o prefixo máximo estão de acordo com a informação do ROA
○ Inválida: A informação não está de acordo com o ROA ○ Desconhecido: Não existe ROA para o prefixo verificado
![Page 116: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/116.jpg)
RoteadorExemplo:
AS de Origem Prefixo Comprimento Max
ROA 65536 10.0.0.0/16 /18
Válida 65536 10.10.0.0/16
Inválida 65536 10.0.10.0/24
Desconhecido 65540 10.0.0.0/8
![Page 117: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/117.jpg)
Roteador● Políticas de roteamento podem ser estabelecidas em
cima da validação das rotas○ Alterar preferências○ Atribuir communities○ Aplicar filtros
![Page 118: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/118.jpg)
Configurando o roteador● Juniper
○ Conexão com validador
# set routing-options validation group group-name session address port port-number
![Page 119: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/119.jpg)
Configurando o roteador● Juniper
# set policy-options community origin-validation-state-invalid members 0x4300:0.0.0.0:2# set policy-options community origin-validation-state-unknown members 0x4300:0.0.0.0:1# set policy-options community origin-validation-state-valid members 0x4300:0.0.0.0:0
![Page 120: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/120.jpg)
Configurando o roteador● Juniper
# set policy-options policy-statement validation term valid from protocol bgp# set policy-options policy-statement validation term valid from validation-database valid# set policy-options policy-statement validation term valid then community add origin-validation-state-valid# set policy-options policy-statement validation term valid then accept
![Page 121: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/121.jpg)
Configurando o roteador● Juniper
# set policy-options policy-statement validation term invalid from protocol bgp# set policy-options policy-statement validation term invalid from validation-database invalid# set policy-options policy-statement validation term invalid then community add origin-validation-state-invalid# set policy-options policy-statement validation term invalid then accept
![Page 122: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/122.jpg)
Configurando o roteador● Juniper
# set policy-options policy-statement validation term unknown from protocol bgp# set policy-options policy-statement validation term unknown then validation-state unknown# set policy-options policy-statement validation term unknown then community add origin-validation-state-unknown# set policy-options policy-statement validation term unknown then accept
![Page 123: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/123.jpg)
Configurando o roteador● Juniper
○ Para verificar
# show route protocol bgp# show validation database
# set protocols bgp import validation
![Page 124: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/124.jpg)
ResumindoCertificação de recursos● RIRs são Autoridades Certificadoras
○ Criam certificados digitais para recursos de numeração (IPs e ASNs), emitem para ASNs
○ ASNs usam o certificado para criar declarações■ ROA
● Autoriza um ASN a originar prefixos de uma organização no BGP
● Prefixo máximo do anúncioAdaptado de: https://archive.nanog.org/sites/default/files/RPKI%20-%20NANOG63.pdf
![Page 125: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/125.jpg)
ResumindoValidação na Origem● ASNs validam e comparam ROAs com informações
recebidas no BGP○ Aplicam filtros de acordo com o resultado
■ Válido■ Inválido■ Desconhecido
Adaptado de: https://archive.nanog.org/sites/default/files/RPKI%20-%20NANOG63.pdf
![Page 126: RPKI: de prefixos no BGPE se uma organização quiser alocar seus recursos para outros ASes? Duas opções: 1. Gerar a ROA para os próprios anúncios do seu ASN 2. Gerar um certificado](https://reader034.fdocumentos.tips/reader034/viewer/2022042316/5f0538167e708231d411df18/html5/thumbnails/126.jpg)
Obrigado!!!Equipe de cursos do CEPTRO.br (Eduardo
Barasal Morales, Tiago Jun Nakamura, Tuany Oguro tabosa, Andrea Erina Komo e Fernanda
Vitoria Santos Machado)[email protected] [email protected]
São Paulo, dezembro de 2019