Россия создает собственную инфраструктуру интернета. Теперь для проверки маршрутизации IP-адресов

Роскомнадзор планирует создать в России собственную инфраструктуру для валидации маршрутизации IP-адресов. Речь идет об инфраструктуре протокола RPKI, который должен обеспечить защиту от перехвата маршрутов номеров автономных систем IP-адресов. Сейчас в Европе за работу данного протокола отвечает RIPE NNC.

Российские сервис валидации маршрутов

В России планируется создание замещающей инфраструктуры интернета, обеспечивающей независимый учет и формирование правил маршрутизации. В том числе это будет делаться за счет разработки сервиса валидации маршрутов. Это следует из Стратегии развития телекоммуникационной отрасли до 2035 г., утвержденной Правительством.

Пресс-служба Минцифры сообщила CNews, что данная инициатива принадлежит Роскомнадзору. В этом ведомстве от комментариев отказались.

Источник CNews на телекоммуникационном рынке полагает, что речь идет о создании в России инфраструктуры для протокола RPKI (Resource Public Key Infrastructure). Это решение является расширением протокола BGP (Border Gateway Protocol), отвечающего за динамическую маршрутизацию в интернете.

Как работают протоколы RPKI и BGP

Каждый маршрутизатор в интернете поддерживает локальную таблицу наилучших путей для каждой группы префиксов IP-адресов. IP-адреса в интернете объединяются в автономные системы, имеющие собственные уникальные номера (ASN, номер автономной системы). Протокол BGP определяет, как автономные системы обмениваются информацией о маршрутах.

Каждая ASN объявляется префиксы, по которым она может доставлять данные. Недостатки протокола BGP приводят к случаям угона префиксов равной длины. Также злонамерный ASN может объявить более конкретный префикс. Оба префикса будут добавлены в таблицу маршрутизации BGP, но более конкретный адрес выбирается в качестве наилучшего пути к сети.

RPKI создает уровень безопасности в протоколе BGP, обеспечивающий полное криптографической доверие владельцу, где последний имеет общедоступный идентификатор. Это достигается за счет аутентификации владельца ASN через открытый ключ и инфраструктуру сертификатов без наличия в них идентифицирующей информации.

"Без RPKI протокол BGP держится или на доверии, или на полностью ручной конфигурации, однако в условиях крупных сетей это невозможно", - говорит автор Telegram-канала "Эшер II" Филипп Кулин.

За работу RPKI отвечают пять региональных интернет-регистратур. В Европе таковой является RIPE NCC, которая выдает сертификаты держателям ресурсов и обеспечивает их проверку. Соответственно, Роскомнадзор хочет создать собственную инфраструктуру для данного протокола.

"Подобного рода инфраструктуру следовало давно создавать, так как протокол BGP не содержит защиты от перехвата префиксов (hijacking), - считает глава Фонда содействия развития технологий и инфраструктуры интернета Дмитрий Бурков. - Однако инициатива сложная и требует технических усилий и финансирования. В идеале необходима система мониторинга, которая охватывала бы весь мир и позволяла выявить нарушителей, перехватывающих префиксы. Но в минимальном варианте такую инфраструктур достаточно сделать внутри России".

Статистика по распределению российских IP-адресов

На начало 2024 г. в российском интернете насчитывалось 11,26 тыс. ASN, работающих по протоколу IPv4 и 2,5 тыс. ASN, работающих по протоколу IPv6. Общее количество адресов IPV4 составляет 45,2 млн. 53% российских IP-адресов выделено семи операторам связи. На первом месте по этому показателю находится "Ростелеком" - 11,1 млн IP-адресов (25% от общего числа).

На втором месте находится "Эр-Телеком", вместе с "дочкой" "Новотелеком", ему принадлежит 4,07 млн IP-адресов. На втором - "Вымпелком" (торговая марка "Билайн") с 3,48 млн. IP-адресов, на третьем - "Эр-Телеком" с 3,2 млн IP-адресов. На четвертом месте "Мегафон" - 2,4 млн IP-адресов, на пятом – "Мобильные телесистемы" (МТС) с 2,4 млн IP-адресов, на шестом месте – "Транстелеком" с 984 тыс. IP-адресов.

Российские IP-адреса

Другая инициатива Роскомнадзора, включенная в Стратегию, это создание и последующее развитие информационной системы страновой принадлежности IP-адресов с целью формирования доверенной базы данных, необходимой для организации защиты цифрового периметра страны от внешнего деструктивного воздействия. Речь идет об аналоге сервиса Whois.

Данный сервис был запущен подведомственным Роскомнадзором Государственным радиочастотным спектром (ГРЧЦ) в рамках Центра мониторинга и управления сетями связи общего пользования (ЦМУ ССОП).

Кроме того, в Стратегии говорится о таких мероприятиях, как: внедрение систем фильтрации компьютерных атак в сетевом трафике при оказании услуг связи, в том числе использующих технологии искусственного интеллекта; создание и последующее развитие единой централизованной системы защиты от DDOS-атак как одной из наиболее актуальных угроз, способной привести к массовым сбоям в работе ключевой информационной инфраструктуры; внедрение технологии квантвого распределения ключей на основе российского оборудования в интересах государственного сектора и корпораций, а также апробации и внедрение постквантовых методов криптографической защиты информации в сетях связи.

Также говорится о необходимости развития отраслевого центра Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы России (ГосСОПКА), нарушение или прекращение работы которых может негативно повлиять на экономику страны или безопасность граждан. Говорится и о необходимости развития системы мониторинга и раннего предупреждения об угрозах информационной безопасности.