6. února 2026

RPKI a ROA: Povinný krok pro bezpečné směrování vašich prefixů

Vodafone zavádí technologii RPKI napříč celou svou sítí. Tento článek shrnuje plánovanou změnu v oblasti směrování a její možné dopady na zákaznické služby. Jde o dnes již standardní bezpečnostní mechanismus, který chrání internetové směrování (BGP) před chybami konfigurace i úmyslnými útoky.

Jak RPKI funguje?

RPKI (Resource Public Key Infrastructure) umožňuje ověřit, zda je konkrétní autonomní systém (ASN) oprávněn inzerovat daný IP prefix. Toto oprávnění je definováno pomocí tzv. záznamů ROA (Route Origin Authorization), které si správce prefixu vytváří ve svém RIR portálu (např. RIPE NCC).

Proč je RPKI důležité?

Internetové směrování je založeno na důvěře mezi jednotlivými sítěmi. Bez dodatečného ověření může dojít k tomu, že je prefix inzerován neoprávněným subjektem, a to jak omylem, tak úmyslně. RPKI tuto důvěru posiluje tím, že umožňuje kryptograficky ověřit původ BGP oznámení. Díky tomu:

se výrazně snižuje riziko route hijackingu a route leaků
zvyšuje se stabilita směrování
zlepšuje se celková bezpečnost přenosu dat

RPKI je dnes považováno za doporučené řešení a je aktivně nasazováno většinou významných poskytovatelů konektivity.

Jak RPKI vyhodnocuje prefixy?

Na základě dostupných ROA záznamů jsou BGP oznámení (a tím i sítě) rozdělena do tří stavů:

Platné (Valid): Prefix i zdrojové ASN odpovídají platnému ROA záznamu
Neplatné (Invalid): Prefix nebo zdrojové ASN neodpovídají žádnému platnému ROA záznamu
Neznámé (Unknown): Pro daný prefix neexistuje v RPKI databázi žádný ROA záznam

Kdy dojde ke změně?

Od 15. března 2026 začne Vodafone odmítat všechny prefixy ve stavu Invalid přijímané od zákazníků. Tyto prefixy nebudou po tomto datu směrovány sítí Vodafone.

Tento přístup je již nyní uplatňován vůči peeringovým a upstream partnerům. Odpovídá také běžné praxi ostatních významných operátorů a Tier-1 poskytovatelů. Prefixy ve stavu Unknown budou i nadále akceptovány. Jejich registraci však důrazně doporučujeme, aby byly do budoucna chráněny pomocí RPKI.

Doporučení pro zákazníky

S postupným rozšiřováním RPKI napříč internetem se počet dostupných destinací z nevalidních sítí neustále snižuje. Správně nastavené ROA záznamy jsou tedy klíčové i pro dlouhodobou dostupnost vašich služeb. Pro zajištění bezproblémového provozu doporučujeme následující kroky:

Zajistěte, aby všechny vaše prefixy měly správně vytvořené ROA záznamy.
Opravte všechny prefixy, které jsou aktuálně ve stavu Invalid.
Doporučujeme také registrovat prefixy ve stavu Unknown, aby byly chráněny před případným zneužitím třetí stranou.

Jak vytvořit ROA záznam?

ROA záznamy se vytvářejí v RIR portálu (např. RIPE NCC):

Přihlaste se do RIPE NCC portálu.
Otevřete RPKI dashboard.
Klepněte na tlačítko Go to ROAs Page, kde lze ROA vytvořit dvojím způsobem.
Z existujících BGP oznámení na záložce BGP announcements pomocí tlačítka Create ROA a následným potvrzením přes Apply now.
Nebo ručně na záložce ROAs zadáním prefixu, origin ASN a maximální délky prefixu a následným uložením přes Save a poté Apply.

Potřebujete pomoc?

Pokud si nejste jisti správností vašich ROA záznamů nebo chcete, abychom ověřili vaše prefixy po jejich aktualizaci, obraťte se prosím na náš support. Rádi vám s přechodem na RPKI pomůžeme. Další obecné informace o RPKI naleznete také na stránkách RIPE NCC.