Netia wdrożyła mechanizm RPKI, by chronić sieć przed atakami DDoS i manipulacjami routingiem IP
Netia wprowadziła mechanizm zabezpieczający sieć przez dwoma rodzajami ataków: DdoS oraz równie niebezpiecznym manipulowaniem routingiem IP, którego skutki są zbliżone do ataku DDoS.
Ataki DDoS to pojęcie, z którym zetknęli się chyba wszyscy internauci zainteresowani sprawami bezpieczeństwa. Na DDoS przyczyny poważnych perturbacji w sieci się nie kończą. Innym istotnym problemem są przejęcia adresacji dużych serwisów lub manipulacje trasami routingu, których skutkiem jest czasowa niedostępność nawet dużych i popularnych serwisów internetowych.
Aby nie dopuścić do obydwu tych typów ataków, w sieci Grupy Netia wdrożony został mechanizm RPKI (ang. Resource Public Key Infrastructure). Mechanizm RPKI nie tylko umożliwia zabezpieczenie adresacji IPv4 i IPv6 przed nieuprawnionym użyciem przez innych użytkowników internetu, ale również pozwala na filtrowanie całej rozgłaszanej adresacji – na podstawie wpisów w tablicy routingu wybierane są optymalne trasy w sieci internet.
Zobacz: Netia uciekła z Mordoru
Na czym polega mechanizm RPKI?
Filtrowanie RPKI odbywa się dzięki analizie obiektów podpisanych certyfikatem ROA (ang. Route Origin Authorization). Każdy taki obiekt zawiera powiązanie pomiędzy numerem ASN (numer systemu autonomicznego) a przypisaną do niego adresacją. W Europie zasobami tymi zarządza RIPE, który pełni również funkcję głównego urzędu certyfikacji infrastruktury RPKI. Na podstawie weryfikacji poprawności certyfikatu, routery operatora podejmują decyzję o wpisaniu danej trasy routingu do lokalnej tablicy routingu lub jej odrzuceniu.
RPKI jest systematycznie wdrażane przez coraz większą liczbę serwisów i operatorów. Na poniższych stronach można zweryfikować czy operator wdrożył filtrowanie na podstawie RPKI: https://isbgpsafeyet.com lub https://sg-pub.ripe.net/jasper/rpki-web-test.
