Hướng dẫn triển khai RPKI

RPKI là công nghệ ký số tài nguyên Internet (IP, ASN) để xác thực thông tin, dữ liệu định tuyến giúp đảm bảo an toàn định tuyến Internet, ngăn chặn giả mạo, lộ lọt, lừa đảo định tuyến (hijack, leak). Triển khai RPKI đảm bảo an toàn định tuyến cho mạng, dịch vụ của cơ quan doanh nghiệp; từ đó giúp định tuyến, hạ tầng Internet được đảm bảo an toàn hơn từ gốc.

Mô hình kết nối mạng độc lập, đa hướng (multi-home, RPKI)

RPKI được triển khai với 02 giai đoạn:

Giai đoạn 1: là ký số tài nguyên Internet gọi là ROA/RPKI (Route Origin Authorization), thông tin về IP, ASN lưu trữ trên các cơ sở dữ liệu định tuyến toàn cầu được ký số để bảo vệ chống giả mạo. Tham khảo hướng dẫn ký số ROA/RPKI.

Giai đoạn 2: triển khai xác thực tự động trên thiết bị Router định tuyến mạng gọi là ROV/RPKI (Route Origin Validation), quá trình này phức tạp hơn, do các tổ chức, doanh nghiệp phải triển khai cấu hình xác thực trên thiết bị Router định tuyến mạng để kiểm soát thông tin định tuyến, ngăn chặn giả mạo, lộ lọt, lừa đảo định tuyến.

Hướng dẫn triển khai RPKI

(1) Đăng ký với VNNIC để khai báo bản ghi ROA trên APNIC: Thực hiện theo hướng dẫn bên trên

(2) Chuẩn bị triển khai RPKI cho dịch vụ định tuyến

- Xây dựng RPKI validator (RPKI Server) đồng bộ thông tin các bản ghi ROA từ APNIC RIPE NCC, ARIN…

- Nâng cấp Router chạy RPKI và nhận bảng định tuyến toàn cầu từ các Upstream.

(3) Triển khai RPKI trên các bộ định tuyến biên. Thiết lập chính sách với các prefix có giá trị invalid sẽ bị vô hiệu trong bảng định tuyến BGP.

- Valid: Phê duyệt đồng ý định tuyến, quảng bá (pass).

- Unknow: Kiểm tra thêm dữ liệu định tuyến để đồng ý hoặc từ chối định tuyến (Pass/ Reject).

- Invalid: Reject.

Tham khảo tài liệu hướng dẫn chi tiết tại đây.

Thông tin liên hệ, hỗ trợ

- Phòng Hợp tác - Quản lý tài nguyên, Trung tâm Internet Việt Nam (Email: ipasn@vnnic.vn, Điện thoại: 024-35564944 số máy lẻ 105, 102).

- Nhóm quản lý IP/ASN: Email: ipasn@vnnic.vn; Điện thoại: 024-35564944 số máy lẻ 102, 103, 905.