ASPA в RPKI: наступний рівень захисту BGP-маршрутизації

ASPA (Autonomous System Provider Authorisation) — це нове розширення RPKI, яке доповнює ROA/ROV і дозволяє чітко вказувати, які AS є вашими апстрім-провайдерами. На відміну від ROA, який захищає тільки походження префікса, ASPA допомагає перевіряти коректність AS-PATH і виявляти route leaks і неправдоподібні BGP-шляхи.

Тепер ASPA доступний в RIPE NCC RPKI Dashboard, де його можна створювати і керувати ним так само, як ROA. Оператор сам вказує своїх провайдерів — система нічого не вгадує автоматично.

Навіщо це потрібно:

• знижує ризик витоків маршрутів (valley leaks);
• ускладнює підробку AS-PATH;
• підвищує загальну стійкість глобальної маршрутизації.

Як це працює:

• ви підписуєте ASPA і перераховуєте своїх провайдерів (не пірів і не клієнтів);
• валідатори RPKI поширюють ці дані;
• маршрутизатори (Bird, OpenBGPD, тестується Cisco IOS-XR) перевіряють AS-PATH на відповідність оголошеним відносинам.

Важливо:

• ASPA вимагає постійного супроводу — при зміні апстрімів об'єкт потрібно оновлювати;
• якщо забути вказати провайдера, ASPA-aware мережі можуть відхиляти ваші маршрути;
• рекомендується відхиляти ASPA invalid, але приймати valid і unknown (особливо на етапі часткового впровадження).

ASPA — це наступний логічний рівень захисту поверх RPKI. Він не вирішує всіх проблем BGP, але істотно скорочує клас небезпечних помилок і атак. Чим більше операторів почнуть публікувати ASPA, тим ефективнішою стане перевірка маршрутів і тим швидше підтримку додадуть всі вендори.