Cloudflare начала использовать RPKI для защиты интернет-маршрутизации

Cloudflare объявила, что построила в своих сервисах фильтр маршрутизации Интернета на основе RPKI (Resource Public Key Infrastructure), который проверяет безопасность пути для передачи информации. Компания предоставляет эту функцию пользователям бесплатно и разрешает другим платформам использовать ее для защиты своих сетей.

Зачем нужна RPKI?

Передача данных в Интернете сейчас построена на BGP (Border Gateway Protocol, протокол граничного шлюза). С одной стороны, он упрощает взаимодействие глобальных сетей с разной топологией, а с другой — требует высокого уровня доверия между операторами по всему земному шару. Поэтому существует риск вмешательства в это взаимодействие. Случайное или намеренное, оно может привести к изменению пакетов данных или пересылке не по адресу.

К примеру, в июле 2018 года иранская телекоммуникационная компания перехватила трафик Telegram. Она поглотила часть IP-адресов мессенджера, что повредило таблицы интернет-маршрутизации. Такая атака называется BGP-перехватом. Система RPKI позволяет удостовериться, что выбранный для передачи данных маршрут безопасен, и информация дойдет до пункта назначения неизменной.

Что теперь изменится?

В разговоре с TechCrunch глава отдела криптографии Cloudflare Ник Салливан назвал RPKI защитным фреймворком. Он позволяет убедиться, что та или иная сеть объявляет только свои, легитимные IP-адреса. Тем не менее, система, по словам компании, не идеальна и лучше предотвращает утечки, чем взлом и подмену трафика. Ее внедрение — лишь первый этап на пути от «доверчивой» маршрутизации к той, что основана на аутентификации.

По данным TechCrunch, сейчас система покрывает лишь 8−9 % Интернета, притом лишь 1 % сетей использует строгую RPKI-валидацию. Cloudflare надеется, что ее разработка покажет другим компаниям простой и дешевый путь к переходу на RPKI и приведет к масштабному внедрению технологии.

Cloudflare развивает идеи децентрализованного Интернета, ориентированного на безопасность и анонимность. В этих целях компания уже выпустила приватный преобразователь DNS 1.1.1.1 и скрытый сервис Tor для него, инструмент Spectrum для защиты TCP-протоколов и IPFS-шлюз для доступа к сайтам на основе пиринговой сети через браузер.