GuiGui's Show

Depuis 2019 une discussion est actuellement ouverte à l’IETF afin de pouvoir étendre la RPKI à la vérification de l’AS path au lieu d’uniquement l’AS source, c’est l’ASPA (Autonomous System Provider Authorization). L’idée est qu’un AS va publier quels sont ses fournisseurs, et si un préfixe (signé en ROA évidemment) est vu avec un chemin qui n’a rien à voir avec la choucroute, l’annonce sera rejetée. C’est un peu à voir comme la version 2 des IRRs que l’on trouve dans les whois d’AS.

+ https://datatracker.ietf.org/doc/draft-ietf-sidrops-aspa-verification/

Autonomous System Relationship Authorization (ASRA) est déjà en projet pour gérer plus de cas que ne le peut ASPA. Cf. https://conference.apnic.net/56/assets/files/APJS642/autonomous-system-re_1694481446.pdf.

Le tout constitue des étapes vers BGPSec aka PathSec (ici et là) c'est-à-dire la sécurisation du chemin d'AS (AS_PATH) complet en s'assurant qu'il est bien celui par lequel une annonce BGP est effectivement passée (et non pas juste un chemin possible / déclaratif, comme ASPA / ASRA). Plus précisément :

The BGPsec [RFC8205] protocol was designed to solve the problem of AS_PATH verification by including cryptographic signatures in BGP Update messages. It offers protection against unauthorized path modifications and assures that the BGPsec Update traveled the path shown in the BGPsec_PATH Attribute. However, it does not detect route leaks (valley-free violations). Thus, BGPsec and ASPA are complementary technologies.

#sécurité #internet