¶ 🌐 RPKI no NetConfig – Segurança, Facilidade e Automação
¶ 🔒 O que é RPKI?
RPKI (Resource Public Key Infrastructure) é um sistema global de validação de rotas BGP. Ele permite que os detentores de prefixos IP e ASNs (Sistemas Autônomos) autorizem explicitamente quais ASN têm permissão para anunciar seus blocos de IP.
Isso é feito por meio de documentos digitais chamados ROAs (Route Origin Authorizations), que especificam:
- O ASN autorizado
- O prefixo IP
- A máscara máxima que pode ser anunciada
¶ ⚠️ Por que o RPKI é tão importante?
Sem o RPKI, qualquer ASN do mundo pode, propositalmente ou acidentalmente, anunciar seus prefixos. Isso abre brechas para:
- Hijack de prefixos (roubo de tráfego BGP)
- Sequestros de rota
- Invasão de redes por engenharia de tráfego
- Perda de conectividade e reputação
Redes que implementam validação RPKI podem bloquear prefixos inválidos automaticamente, o que significa que prefixos sem ROA correm risco real de serem descartados.
¶ 🚀 Como o NetConfig facilita tudo isso?
Configurar RPKI por conta própria pode ser complicado: envolve criação de CAs, comunicação com o Registro.br, publicação de certificados e configuração de ROAs.
O NetConfig automatiza todo esse processo, com:
- Interface gráfica simples e intuitiva
- Integração direta com o Registro.br
- Geração automática de Child Request, Publisher Request, etc.
- Validação e acompanhamento de status dos ROAs
- Suporte à criação de múltiplos ROAs e ASN
- Alertas sobre expiração ou falha de publicação
¶ 🛠️ Tutorial: Como configurar o RPKI no NetConfig
¶ 🔹 Etapa 1 – Cadastrar seu ASN
- Vá em Empresa → ASN
- Clique em Adicionar
- Insira seu ASN (ex:
264123) e clique em Enviar
¶ 🔹 Etapa 2 – Criar seu CA no NetConfig
- Vá em RPKI → Gerenciador RPKI
- Se aparecer a mensagem "O ASN ainda não possui um CA", clique em Continuar
- O NetConfig irá gerar automaticamente o Child Request
¶ 🔹 Etapa 3 – Enviar o Child Request ao Registro.br
- Vá na aba Parents no Gerenciador RPKI
- Clique em Adicionar CA Pai
- Copie o conteúdo do campo Child Request
- Acesse o painel do Registro.br
- Vá na seção RPKI e cole o conteúdo no campo correspondente
- Clique em Habilitar RPKI
- O Registro.br fornecerá o Parent Response
¶ 🔹 Etapa 4 – Enviar o Parent Response ao NetConfig
- Copie o XML do Parent Response
- Volte ao NetConfig, ainda na aba Parents
- Cole no campo Conteúdo XML
- Clique em Enviar
¶ 🔹 Etapa 5 – Configurar a Publicação
- Vá para a aba Repositories
- Clique em Adicionar Repositório
- Copie o conteúdo do Publisher Request
- Volte ao Registro.br e clique em Configurar publicação remota
- Cole o conteúdo do Publisher Request e clique em Habilitar publicação remota
- O Registro.br fornecerá o Repository Response
- Volte ao NetConfig, cole o Repository Response no campo XML e clique em Enviar
¶ 🔹 Etapa 6 – Criar seus ROAs
- Vá até a aba ROAs
- Clique em Adicionar Rota
- Preencha os dados:
- Prefixo (ex:
177.10.20.0/22) - Máscara máxima (ex:
24) - ASN autorizado (ex:
264123)
- Prefixo (ex:
- Clique em Criar
⚡ O NetConfig pode criar ROAs automaticamente com base nas delegações existentes!
¶ ✅ Concluído!
Seu ambiente RPKI está:
- Com o CA criado e ativo
- Integrado ao Registro.br
- Com publicação remota configurada
- Com ROAs protegendo seus anúncios BGP
¶ 🛡️ Valide sua configuração
- No proprio NetConfig voce pode checar se seu RPKI já está valido, usando a função "Validar RPKI". Caso queira checar em uma ferramenta externa, pode usar routinator.nlnetlabs.nl ou rpki.cloudflare.com para testar se seus ROAs estão válidos e visíveis.
¶ 📌 Dica Final
Sempre que for anunciar um novo prefixo ou alterar o ASN de origem, atualize seus ROAs no NetConfig para manter a validade.
RPKI é hoje um dos pilares de segurança e reputação para provedores e operadoras.