👉 Как в интернете пакеты узнают куда надо идти, чтобы добраться до нужного адреса? Есть такие «номера почтовых отделений» – «номера автономных систем». Это точки маршрутизации. Любой IP-адрес, который доступен в сети, имеет своим источником какую-либо автономную систему (в общем случае). У провайдера может быть и не одна автономная система. Автономные системы обмениваются между собой информацией о том, кто какие IP-адреса может обслужить, по протоколу BGP. Принцип такой — автономная система анонсирует «я являюсь источником для такой-то группы адресов».

⚠️ В общем случае, всё происходит на доверии. Коллапса в режиме «нон-стоп» не случается только по тому, что есть специальные базы, которые ведутся интернет-регистратурами, распределяющими адреса, куда записывается информация о маршрутах. И на основе этой информации автономными системами строятся фильтры, что они от кого хотят слышать. Но поскольку все намного сложнее, чем «построил фильтр и всё», подделка маршрутов случается регулярно. На профессиональном языке это называется «BGP hijacking».

☝️ RPKI - это набор инструментов, который позволяет: 1) сетевому администратору, управляющему блоком IP-адресов, строго удостоверить право той или иной автономной системы называться источником (origin) в маршрутах для соответствующих префиксов; 2) участникам BGP - проверить, что данная автономная система уполномочена являться источником в маршрутах для данных префиксов, и уполномочил её администратор блока. То есть, RPKI - основа для создания фильтров, но со строгими проверками и построенной рядом дополнительной защитой от подмены информации. Работает на базе электронной подписи RSA (почему-то) и слегка доработанных сертификатов X.509. Устроено очень похожим на PKI для веба образом. Вот например об этом рассказывает Яндекс:
https://habr.com/ru/company/yandex/blog/467391/

👍 Поскольку в интернете нет связи каждый с каждым, то RPKI, конечно, защищает в основном от ошибок настроек. Но есть и другие инструменты, которые в сумме закрывают практически все вектора возможных атак.

🤘 Тема я считаю крайне важная и незаслуженно оттеняемая. В мире слишком много построено на чрезмерном доверии к неопределенному кругу лиц в интернете. Я считаю это проблемой устойчивости, целостности и безопасности любого сегмента интернета, в том числе и российского. Вот в новом российском законодательстве об «устойчивом Рунете» про это написано следующее… а, или подождите… Нет, там про смертоносную угрозу твитов. Забыл я совсем про разрушительные удары репостов в facebook, со всякой ерундой лезу….

✌️ Отдельно хочу выразить благодарность Александру Венедюхину и Александру Азимову за помощь в составлении материала.

✅ Кстати, через неделю, можно пойти на https://golangconf.ru/2019 Отличные спикеры, отличные доклады, отличные организаторы. В том числе, там вечером буду докладывать и я. У меня очень на мой взгляд любопытный и необычный доклад. Я бы сказал, это будет доклад про то, как я делал этот доклад (это так и задумано). «Каков он был, о, как произнесу, Тот дикий лес, дремучий и грозящий, Чей давний ужас в памяти несу!»

✅ Если же вы из другого «театра» и интересуетесь сетями и телекомом, то в этот же день, в офисе Яндекс будет бесплатная конференция для сетевых специалистов Next Hop 2019 https://events.yandex.ru/events/nexthop2019 На ней, например, Александр Азимов расскажет и поговорит с вами об обеспечении целостности и устойчивости Рунета. Про RPKI, конечно, не про твитоборство

💰 Осень, мне хочется немного тепла, чашечку горячего чая и #donate