¶ 🌐 RPKI no NetConfig – Segurança, Facilidade e Automação
RPKI (Resource Public Key Infrastructure) é um sistema global de validação de rotas BGP. Ele permite que os detentores de prefixos IP e ASNs (Sistemas Autônomos) autorizem explicitamente quais ASN têm permissão para anunciar seus blocos de IP.
Isso é feito por meio de documentos digitais chamados ROAs (Route Origin Authorizations), que especificam:
- O ASN autorizado
- O prefixo IP
- A máscara / comprimento máxima que pode ser anunciada
¶ ⚠️ Por que o RPKI é tão importante?
Sem o RPKI, qualquer ASN do mundo pode, propositalmente ou acidentalmente, anunciar seus prefixos. Isso abre brechas para:
- Hijack de prefixos (roubo de tráfego BGP)
- Sequestros de rota
- Invasão de redes por engenharia de tráfego
- Perda de conectividade e reputação
Redes que implementam validação RPKI podem bloquear prefixos inválidos automaticamente, o que significa que prefixos sem ROA correm risco real de serem descartados.
¶ 🚀 Como o NetConfig facilita tudo isso?
Configurar RPKI por conta própria pode ser complicado: envolve criação de CAs, comunicação com o Registro.br, publicação de certificados e configuração de ROAs.
O NetConfig automatiza todo esse processo, com:
- Interface gráfica simples e intuitiva
- Integração direta com o Registro.br
- Geração automática de Child Request, Publisher Request, etc.
- Validação e acompanhamento de status dos ROAs
- Suporte à criação de múltiplos ROAs e ASN
- Alertas sobre expiração ou falha de publicação
¶ 📺 Tutorial em vídeo
Clique na imagem abaixo ou aqui e veja o nosso tutorial em vídeo sobre como utilizar a ferramenta de RPKI:
¶ 🛠️ Tutorial: Como configurar o RPKI no NetConfig
Antes de começar, vamos precisar que você acesse o RIR da sua região para realizar a integração, no caso do Brasil, essa integração é feita no painel do Registro.br.
Ao acessar o menu RPKI -> Gerenciador RPKI no NetConfig, será exibido um ajudante de configuração, com 5 passos simples de como realizar a integração! O sistema irá verificar automaticamente em qual passo você está, mesmo que seja necessário parar no meio do caminho.
¶ 🔹 Etapa 1 – Cadastrar seu ASN
Caso ainda não tenha feito, será exibido a tela abaixo para que seja inserido o ASN da sua empresa (ex: 23456), clique em Enviar:
¶ 🔹 Etapa 2 – Criar seu CA
Essa etapa é obrigatória para termos ciência de quais empresas realmente querem ter o RPKI dentro do NetConfig, clique em Criar CA para continuar:
¶ 🔹 Etapa 3 – Enviar o Child Request (Parent) ao Registro.br
Após criar o CA, será gerado um XML que será utilizado para a integração com o registro.br. Clique no botão de copiar no campo XML de Requisição (Child Request):
- Acesse o painel do Registro.br
- Clique no menu TITULARIDADE
- Em seguida clique no nome da organização para a qual se deseja habilitar RPKI
- Na página seguinte, vá até o final da página até a opção RPKI - Configurar RPKI
- Será exibida a tela do print abaixo, cole o XML de Requisição (Child Request) do NetConfig no campo Configuração -> Child Request do registro.br:
¶ 🔹 Etapa 4 – Enviar o Parent Response ao NetConfig
Após clicar em Habilitar RPKI no registro.br, a tela deve ficar assim:
- Copie o texto do campo Configuração -> Parent Response
- Volte ao NetConfig
- Cole no campo XML Retornado pelo RIR (Parent Response)
- Clique em Enviar
¶ 🔹 Etapa 5 – Configurar a Publicação Remota (Repository)
Após o parent ser configurado, será criado um novo XML, agora para a publicação remota.
- Clique no botão de copiar do campo XML de Requisição (Publisher Request) no NetConfig
- Ainda na mesma página do registro.br, clique no botão Configurar Publicação Remota logo abaixo do campo de Parent Response:
- Cole o conteúdo do XML de Requisição (Publisher Request) no campo que apareceu
- Clique em Habilitar publicação remota
- O Registro.br fornecerá o Repository Response
- Volte ao NetConfig
- Cole o Repository Response no campo XML Retornado pelo RIR
- Clique em Enviar
¶ 🔹 Etapa 6 – Validar Parent e Repository
Caso seja uma integração nova, o ajudante termina por aqui com o aviso de que o próximo passo é a criação dos ROAs.
Mas antes da criação dos ROAS é importante a validação de que ambos CA / Hierarquia (Parent) e Publicação Remota (Repository) não apresentam erros! Isso pode levar alguns segundos para validar, mas os ícones de erro abaixo não devem estar presentes ou o botão de Adicionar ROAs não estará disponível.
¶ 🔹 Etapa 7 – Criar seus ROAs
-
Vá até a aba Rotas (ROAs)
-
Clique em Adicionar ROA
-
Preencha os dados:
- ASN autorizado (ex:
23456) - Prefixo (ex:
177.10.20.0/22) - Comprimento máximo (Opcional, ex:
24) - Comentário (Opcional, ex:
POP01)
- ASN autorizado (ex:
-
Clique em Criar
⚡ A tabela "Análise de Anúncios BGP" apresenta para consulta os anúncios detectados na tabela global!
¶ ✅ Concluído!
Seu ambiente RPKI está:
- Com o CA criado e ativo
- Integrado ao Registro.br
- Com publicação remota configurada
- Com ROAs protegendo seus anúncios BGP
¶ 🛡️ Valide sua configuração
No topo da tela do gerenciador RPKI, caso exista algum problema em Parents ou Repository será exibido um ícone vermelho do lado do nome conforme a imagem abaixo:
- No proprio NetConfig você pode checar se seu RPKI já está válido, usando a função "Validar RPKI". Caso queira checar em uma ferramenta externa, pode usar routinator.nlnetlabs.nl ou rpki.cloudflare.com para testar se seus ROAs estão válidos e visíveis.
¶ ❌ Remover Configuração
Estamos em constante desenvolvimento de novas funcionalidades e a opção de remover Parent e Repository deve sair em breve, até que essa opção esteja disponível de forma fácil, por favor utilize a remoção de ASN caso necessite, porém tenha em mente que isso fará com que 100% da configuração de RPKI será removida também.
¶ 📌 Dica Final
Sempre que for anunciar um novo prefixo ou alterar o ASN de origem, atualize seus ROAs no NetConfig para manter a validade.
RPKI é hoje um dos pilares de segurança e reputação para provedores e operadoras.