Роскомнадзор планирует создание в России независимой инфраструктуры для проверки маршрутизации IP-адресов. Этот проект будет основан на протоколе RPKI, который предназначен для предотвращения перехвата маршрутов автономных систем IP-адресов, что обеспечивает более высокую защиту данных.
В настоящее время в Европе за работу протокола RPKI отвечает организация RIPE NCC. Создание собственной инфраструктуры позволит России снизить зависимость от внешних операторов и усилить контроль над интернет-маршрутизацией внутри страны.
Российские сервисы для валидации интернет-маршрутов
В России разрабатывается независимая инфраструктура интернета, которая обеспечит контроль над маршрутизацией и установит собственные правила для IP-трафика. Одним из главных элементов станет создание сервиса валидации маршрутов, предусмотренного в Стратегии развития телекоммуникационной отрасли до 2035 года, утвержденной правительством.
Минцифры подтвердило, что инициатором проекта выступает Роскомнадзор. Представители ведомства, однако, не раскрывают подробности.
Эксперты полагают, что проект направлен на создание инфраструктуры для поддержки протокола RPKI (Resource Public Key Infrastructure). Этот механизм расширяет стандартный протокол BGP (Border Gateway Protocol), используемый для динамической маршрутизации, и защищает маршруты от перехватов.
Создание такой инфраструктуры даст России больше независимости в управлении интернет-трафиком, снижая риски, связанные с зависимостью от зарубежных операторов и укрепляя общую информационную безопасность.\
Как работают протоколы RPKI и BGP
Основу маршрутизации в интернете составляет протокол BGP (Border Gateway Protocol), благодаря которому автономные системы (AS) — крупные сети с уникальными номерами ASN — могут обмениваться маршрутной информацией. Всякий раз, когда один маршрутизатор отправляет данные в другой, он использует таблицу маршрутов, которая позволяет выбрать наилучший путь для группы IP-префиксов. Эта система помогает сетям передавать данные оптимальным маршрутом, поддерживая скорость и устойчивость интернета.
В работе BGP есть важная уязвимость: маршрутизаторы выбирают пути на основе заявлений владельцев автономных систем, доверяя их информации. Каждая автономная система публикует префиксы IP-адресов, по которым она способна передавать данные. Однако отсутствие встроенных механизмов проверки приводит к возможности захвата маршрутов: злоумышленники могут заявить о владении префиксом, не являясь его настоящим владельцем, и перенаправить трафик через несанкционированные маршруты. Эта уязвимость особенно актуальна для префиксов равной длины, а также для более конкретных префиксов, которые злоумышленники могут объявить, перехватив таким образом контроль над маршрутизацией данных.
Чтобы решить эту проблему, был разработан протокол RPKI (Resource Public Key Infrastructure). RPKI добавляет криптографическую защиту, позволяя владельцам префиксов и автономных систем подтверждать свои права на маршрутизацию IP-адресов с помощью цифровых сертификатов и инфраструктуры открытых ключей. Это позволяет автоматически подтверждать подлинность заявлений о маршрутах, обеспечивая защиту от поддельных объявлений префиксов. RPKI создает своего рода «цифровой паспорт», который делает владельца IP-префиксов или ASN общедоступным, но при этом сохраняет приватность.
«Без RPKI протокол BGP держится или на доверии, или на полностью ручной конфигурации, однако в условиях крупных сетей это невозможно», — говорит автор Telegram-канала «Эшер II» Филипп Кулин.
Сейчас управление RPKI осуществляется пятью региональными интернет-регистратурами, каждая из которых обслуживает свой географический регион и выдает сертификаты владельцам ресурсов. В Европе такую роль выполняет RIPE NCC, которая также отвечает за валидацию заявлений о маршрутах и проверку сертификатов. Однако в условиях глобальной киберугрозы национальные инфраструктуры видятся необходимыми для обеспечения безопасности маршрутизации.
В России Роскомнадзор намерен создать независимую систему RPKI, которая позволит проверять маршруты IP-адресов внутри страны, минимизируя зависимость от международных регистратур и защищая данные от потенциального перехвата. Это важный шаг на пути к созданию независимой и защищенной телекоммуникационной системы.
«Подобного рода инфраструктуру следовало давно создавать, так как протокол BGP не содержит защиты от перехвата префиксов», — считает глава Фонда содействия развитию технологий и инфраструктуры интернета Дмитрий Бурков. «Однако инициатива сложная и требует технических усилий и финансирования. В идеале необходима система мониторинга, которая охватывала бы весь мир и позволяла выявить нарушителей, перехватывающих префиксы. Но в минимальном варианте такую инфраструктуру достаточно сделать внутри России».
Реализация RPKI-системы на национальном уровне, помимо защиты данных, позволит также улучшить мониторинг маршрутов и повысить уровень контроля над собственными IP-адресами. Такой подход важен для создания единой системы защиты цифровых границ страны, особенно учитывая рост глобальных кибератак, направленных на критически важные инфраструктуры.
Распределение российских IP-адресов
На начало 2024 года в российском сегменте интернета насчитывалось 11,26 тыс. автономных систем (ASN), работающих по протоколу IPv4, и 2,5 тыс. — по протоколу IPv6. Суммарное количество IPv4-адресов составило 45,2 млн, из которых более половины — 53% — распределены между семью основными операторами связи.
Лидером среди операторов является «Ростелеком», которому принадлежит 11,1 млн IP-адресов (25% от общего числа). На втором месте находится «Эр-Телеком» с дочерней компанией «Новотелеком», их совокупный пул составляет 4,07 млн адресов. Третье место занимает «Вымпелком» (бренд «Билайн») с 3,48 млн адресов. Далее идут «Мегафон» и МТС — у каждого из них по 2,4 млн адресов, а замыкает список основных операторов «Транстелеком» с 984 тыс. адресов.
Планы по созданию отечественной доверенной базы данных
В рамках Стратегии развития телекоммуникационной отрасли Роскомнадзор планирует создать информационную систему для мониторинга страновой принадлежности IP-адресов. Цель проекта — сформировать базу данных, которая станет важным инструментом для защиты цифровых границ России от внешних угроз. Предполагается, что эта система станет отечественным аналогом популярного сервиса Whois, предоставляющего сведения о владельцах IP-адресов.
Система была запущена Федеральным государственным учреждением «Государственный радиочастотный центр» (ГРЧЦ), который подведомственен Роскомнадзору. Она является частью Центра мониторинга и управления сетями связи общего пользования (ЦМУ ССОП) и призвана повысить прозрачность и контроль за распределением российских IP-адресов, особенно в условиях растущих угроз кибербезопасности.
Согласно Стратегии, помимо мониторинга IP-адресов, Роскомнадзор также планирует внедрение систем фильтрации сетевого трафика для предотвращения компьютерных атак. Планируется использование технологий искусственного интеллекта для быстрого выявления потенциальных угроз. Важным направлением станет создание централизованной системы защиты от DDoS-атак, чтобы минимизировать риск массовых сбоев в функционировании критически важных инфраструктур.
Дополнительно Стратегия включает в себя внедрение квантовых технологий для защиты информации. Среди таких технологий — квантовое распределение ключей, которое будет реализовано на базе отечественного оборудования для нужд госструктур и корпораций. В дополнение к этому планируется тестирование постквантовых методов криптографии для обеспечения долгосрочной безопасности информации.
Предусмотрено и расширение функционала ГосСОПКА — центра по обнаружению, предупреждению и ликвидации последствий кибератак на важные информационные ресурсы страны. Это позволит усилить систему раннего обнаружения угроз и минимизировать их влияние на ключевые государственные и коммерческие системы.
Также в России активно разрабатывается доверенная промышленная сеть, ориентированная на использование отечественных технологий, которая будет обеспечивать безопасность и надежность передачи данных на предприятиях. Проект, включающий создание новых стандартов и инфраструктуры, планируется завершить к 2030 году. Подробнее рассказали здесь.
