ATTENTION

Les frais associés à l’entente de services d’enregistrement (RSA) AUGMENTERONT FORTEMENT à la fin de 2023.

Toutes les organisations ayant conclu des accords de services d’enregistrement d’héritage (LRSA) avant le 1er janvier 2024 continueront à voir leurs frais limités pour les ressources d’héritage couvertes avant cette date, conformément au plafond annuel des frais de maintenance d’héritage. Toute nouvelle ressource patrimoniale faisant l’objet d’un LRSA à partir du 1er janvier 2024 sera soumise à l’intégralité des frais normaux du plan de services d’enregistrement.

En savoir plus (en anglais seulement)

Qu’est-ce que la RPKI?

Le sigle RPKI signifie « Resource Public Key Infrastructure » (infrastructure à clé publique de ressource). La RPKI prouve qu’il existe un lien entre certains blocs d’adresse IP ou ASN et le détenteur de ces ressources Internet numérotées.

 

Qu’est-ce que l’ARIN?

L’American Registry for Internet Numbers (ARIN) est l’organisation chargée d’attribuer un numéro aux ressources Internet et de gérer ces numéros, comme les adresses du protocole Internet (IP) ou le numéro des systèmes autonomes (ASN), dans plusieurs régions, dont le Canada.

Qu’est-ce qu’une RPKI hébergée?

Une infrastructure à clé publique de ressource (RPKI) hébergée est une infrastructure pour laquelle l’ARIN héberge l’autorité de certification (AC) et valide la provenance des ressources par une autorisation du routage d’origine (ROA) dans la région dont elle assume la responsabilité.

Entente de services d’enregistrement de l’ARIN (RSA et LRSA)

Qu’est-ce qu’une entente de services d’enregistrement (RSA)?

La RSA est une entente que l’organisation conclut avec l’ARIN pour les blocs d’adresses et les ASN qui lui appartiennent. La RSA a été modifiée plusieurs fois afin de donner plus de pouvoirs au détenteur de la ressource et de permettre l’usage d’une RPKI hébergée.

Qu’est-ce qu’une entente de services d’enregistrement patrimoniale (LSRA)?

La LRSA est une entente de services conclue entre l’organisation et l’ARIN pour les blocs d’adresses IP et les ASN qu’elle détient déjà. La version actuelle de la RSA (13.0) et celle de la LRSA (5.0) constituent un seul et unique document. La RSA/LRSA a connu passablement de changements qui confèrent plus de pouvoirs au détenteur de la ressource et facilitent l’usage d’une RPKI hébergée.

Qu’est-ce qu’une ressource à numéro patrimonial?

Il s’agit d’une adresse IPv4 ou du numéro d’un système autonome (ASN) que le registre Internet (InterNIC ou ses prédécesseurs) a initialement attribué au détenteur de la ressource, avant la création de l’ARIN, le 22 décembre 1997.

Détenir une LRSA signée avant la fin de 2023 est-il la seule exigence requise pour bénéficier du plafonnement des droits patrimoniaux?

Oui. À partir du 1er janvier 2024, les ressources patrimoniales nouvellement inscrites au moyen d’une LRSA seront toutes assujetties au barème ordinaire des frais d’enregistrement. Vous avez donc jusqu’à cette date pour profiter du plafonnement des droits patrimoniaux (en anglais seulement). Les organisations qui ont conclu une LRSA avant le 1er janvier 2024 continueront de verser des droits réduits. En revanche, les ressources inscrites par une LRSA conclue après cette date seront assujetties au barème normal de droits.

Puis-je examiner l’entente de services d’enregistrement de l’ARIN (RSA/LRSA) avant d’entamer le processus d’enregistrement?

Oui. Vous trouverez le modèle de la RSA ici (en anglais seulement). L’organisation ou son service juridique pourront l’examiner. Cette entente a été émise le 12 septembre 2022 (en anglais seulement) et combine la version 13.0 de la RSA à la version 5.0 de la LRSA.

Puis-je voir qui a déjà signé un accord RSA ?

Oui. ARIN publie un rapport quotidien listant les personnes ayant signé un accord RSA. Vous le trouverez ici.

Mon organisation doit-elle signer une RSA/LRSA pour recourir à une RPKI?

Oui. La RPKI est un service facultatif réservé aux clients de l’ARIN dont les ressources Internet numérotées sont couvertes par une RSA/LRSA.

Comment puis-je produire une RSA?

Au moment de conclure la RSA, signalez à l’ARIN que vous souhaiteriez participer à la RPKI. Contactez le service d’aide à l’enregistrement de l’ARIN en composant le 1-703-227-0660 ou soumettez un ticket « Ask ARIN » (demandez à l’ARIN) sur votre compte en ligne  (en anglais seulement) pour amorcer la création d’une RSA/LRSA.

Infrastructure à clé publique de ressource (RPKI)

Qu’est-ce qu’une ROA?

L’autorisation du routage d’origine ou ROA (pour Route Origin Authorization) est un élément essentiel de la RPKI. Grâce à elle, le propriétaire légitime de la ressource IP atteste le système autonome (SA) du réseau d’où émanent les préfixes de l’adresse IP. On ne peut émettre de ROA que pour les ressources Internet numérotées qui apparaissent sur le certificat de ressource.

Qu’est-ce que la validation de l’origine du routage (ROV)?

La ROV est un mécanisme de sécurité permettant de vérifier l’authenticité et l’exactitude des annonces du protocole BGP. La ROV repose sur les données que renferme la RPKI.

Qu’est-ce qu’un certificat de ressource?

Ce certificat de la RPKI identifie les ressources IP pour lesquelles on peut créer une ROA.

L’ARIN prévoit-elle obliger les détenteurs de ressources à utiliser la RPKI?

Aucune politique de l’ARIN n’exige l’usage de la RPKI. La RPKI est un service facultatif. Cependant, de plus en plus de fournisseurs de services réclament une autorisation du routage d’origine (ROA) avant de conclure une entente avec les détenteurs de ressources (p. ex., TELCO Systems, BYOIP).

Combien de temps dure un certificat de la RPKI?

Le certificat de ressource de la RPKI délivré par l’ARIN a une durée de deux ans. Le certificat se renouvelle automatiquement au bout d’un an pour une nouvelle période de deux ans.

 

Les ROA de la RPKI ont une durée de 90 jours. Ils se renouvellent automatiquement au bout de 80 jours pour une nouvelle période de 90 jours.

Existe-t-il des exemples pratiques de fournisseurs sur la manière d’utiliser la RPKI?

Il y a tant de plateformes de routage dont on pourrait se servir que nous vous recommandons de lire la documentation du fournisseur pour l’équipement qui a été installé sur le réseau. Vous devriez y trouver des instructions portant spécifiquement sur la RPKI.

Puis-je vérifier si le routage d’un préfixe IP est associé à une RPKI avec Whois?

Non. Le Whois de l’ARIN n’indiquera pas si des déclarations accompagnent les ressources IP inscrites à la RPKI. Outre le validateur de la RPKI, on trouvera sur Internet des outils gratuits d’autres sources qui permettront d’établir la validité des déclarations de routage ou de voir s’il existe une ROA pour le préfixe en question.

Existe-t-il une configuration type pour la RPKI (hébergée et hybride) sur une passerelle de routage?

Il y a tant de plateformes de routage dont on pourrait se servir que nous vous recommandons de lire la documentation du fournisseur pour l’équipement qui a été installé sur le réseau. Vous devriez y trouver des instructions portant spécifiquement sur la RPKI.

Seuls les exploitants de réseau qui valident ou ont l’intention de valider l’origine du routage (ROV) doivent configurer leurs routeurs en fonction de la RPKI. Habituellement, ces exploitants assurent le transit du trafic vers la clientèle en aval et annoncent le routage au réseau de nombreux autres fournisseurs intermédiaires. Si votre réseau annonce le routage au nom d’autres organisations, vous n’aurez pas besoin de configurer vos routeurs en fonction de la RPKI.

Et si l’organisation n’a pas de numéro public de système autonome (ASN)?

Si l’organisation n’a pas d’ASN public, c’est que le fournisseur en amont (le partenaire du RNRE, par exemple) annonce le routage. L’organisation pourra donc s’inscrire aux services de RPKI hébergée et créer des ROA pour ses ressources IP en utilisant l’ASN du fournisseur comme numéro d’origine du système autonome.

Que doit-on faire pour s’enregistrer et utiliser la RPKI?

La procédure pour conclure une LRSA figure à l’adresse https://www.arin.net/resources/guide/legacy/ (en anglais seulement). Vous devrez d’abord vous assurer que le bloc d’adresses IP vous appartient.

Si C’EST LE CAS, vous devrez confirmer qu’il y a attribution directe sur le site Web de l’ARIN.

Si CE N’EST PAS LE CAS, contactez votre fournisseur pour savoir de quelle manière il procède avec la RPKI.

REMARQUE : Si l’ASN ne vous appartient pas, communiquez avec votre partenaire du RNRE afin de trouver une solution.

Comment puis-je savoir si le bloc d’adresses IP de l’organisation est « attribué directement » ou « réattribué »?

Par « directement attribué », on entend des ressources IP que l’ARIN a attribué spécifiquement à l’organisation. « Réattribué » signifie que les ressources IP viennent d’un fournisseur de services Internet (FSI).

Pour savoir si vos ressources IP vous ont été directement attribuées, ouvrez une séance sur votre compte en ligne de l’ARIN.

Comment puis-je déterminer les ressources qui ne sont pas visées par une entente et celles pouvant être qualifiées de patrimoniales?

  • Ouvrez une séance sur votre compte en ligne de l’ARIN.
  • Sur le tableau de bord de l’utilisateur, sous « Account Snapshot » (aperçu du compte), Sélectionnez Networks (réseaux).

Les réseaux non couverts par une entente seront surlignés en jaune.

  • Pour restreindre la recherche aux réseaux non couverts, cochez la case dans la fenêtre de recherche et sélectionnez le bouton de recherche.
  • Sélectionnez le lien Ask ARIN (demandez à l’ARIN) dans le champ « remarques », en dessous, pour entamer la conclusion d’une entente sur les réseaux non couverts.

Comment puis-je vérifier si l’organisation a déjà une RSA/LRSA?

  • Ouvrez une séance sur votre compte en ligne de l’ARIN. Sur le tableau de bord de l’utilisateur, sous « Account Snapshot» (aperçu du compte), sélectionnez Organization Identifiers (identifants de l’organisation).
  • Sélectionnez l’ID de l’organisation pour vérifier quelles ententes ont été conclues.
  • Faites défiler la page Organization Record (dossier de l’organisation) jusqu’au tableau intitulé « Active Registration Services Agreement (RSA) Info» [information sur les ententes de services d’enregistrement (RSA) en cours]. Vous y trouverez le type d’entente, le numéro de la révision et la date à laquelle l’entente a été signée.
  • L’absence de ce tableau sur la page signifie que l’organisation n’a conclu aucune entente.

OU

  • Sur le tableau de bord de l’utilisateur, sélectionnez Organization Identifiers (identifiants de l’organisation).
  • Ensuite, sélectionnez le lien Org ID (identifiant) pour vérifier la situation sur le plan des ententes.
  • Sur la page Organization Records (dossiers de l’organisation), vérifiez l’adhésion dans org info (informations sur l’organisation).
  • Si elle est inscrite comme « General Member» (membre général) ou « Service Member » (membre de service), l’organisation a conclu une entente. Si la mention « ineligible » accompagne son nom, aucune entente n’a été ratifiée.

Pourquoi l’organisation devrait-elle signer une RSA cette année?

Deux raisons motivent la conclusion d’une RSA dans les plus brefs délais :

  1. les droits d’adhésion augmenteront passablement à la fin de 2023;
  2. la signature d’une telle entente est un prérequis pour la RPKI.

Comment puis-je accéder à mon compte de l’ARIN?

Pour toutes les questions à ce sujet, écrivez à : https://www.arin.net/resources/guide/account/. Vous devez vous assurer que l’enregistrement est valide.

Comment puis-je déterminer qui s’est inscrit comme personne-ressource pour le bloc d’adresses IP ou les ASN à l’ARIN?

  • Ouvrez une séance sur votre compte en ligne de l’ARIN. Sur le tableau de bord de l’utilisateur, sout « Account Snapshot» (aperçu du compte), sélectionnez « Point of Contact Records » (personnes-ressources).

OU

  • Dans le navigateur Internet, allez à arin.net et cherchez votre adresse IP, Point of Contact Records (personnes-ressources).

Mon organisation a signé la RSA. Et maintenant?

Confirmez que vous êtes en mesure de gérer la RPKI. Cela fait, déterminez comment configurer la RPKI hébergée en visitant le lien https://www.arin.net/resources/manage/rpki/hosted/ (en anglais seulement).

 

Vous trouverez des informations complémentaires et de la documentation ici : https://www.arin.net/reference/training/webinars/ (en anglais seulement).

Comment puis-je créer une ROA?

Veuillez noter que ceci pourrait affecter négativement le réseau de production. Soyez prudent. Si vous n’êtes pas sûr de la marche à suivre, demandez conseil à votre partenaire du RNRE.

 

Visitez le site Web de l’ARIN et suivez les étapes indiquées ici :

https://www.arin.net/resources/manage/rpki/roa_request/(en anglais seulement).

L’ARIN énumère plusieurs blocs réseau. Que dois-je signer?

Créez une ROA pour chaque route annoncée.

Combien de temps se passera-t-il avant la publication d’une nouvelle ROA?

La création d’une ROA prend environ une heure.

Gestion de la RPKI

Comment puis-je confirmer le statut de ma RPKI?

Pour confirmer votre statut, vous pouvez utiliser un outil « loupe » public ou celui que propose votre partenaire du RNRE. Les résultats vous indiqueront le statut de la RPKI (valide, invalide ou inconnu) comme sur le tableau ci-dessous.

Qu’est-ce qu’un TAL?

Le Trust Anchor Locator ou TAL (localisateur de clé publique) est un fichier indiquant à la fois l’emplacement du dépôt d’infrastructures à clé publique de ressource (RPKI) et celui de la clé publique de l’ARIN servant à vérifier de façon cryptographique si c’est bien l’ARIN qui a validé les artefacts contenus dans son dépôt de RPKI. On utilise le TAL avec un validateur de RPKI pour vérifier les certificats et les ROA que renferme le dépôt de RPKI de l’ARIN. Après validation, ces informations peuvent être utilisées pour le routage dans le réseau de l’organisation.

Les TAL devraient-ils m’inquiéter?

Non. Seul l’ARIN utilise les TAL, pas les organisations.

Qui dois-je contacter pour obtenir des conseils sur la RPKI, la RSA ou la ROA?

Le partenaire du RNRE de votre région pourra vous renseigner sur ces sujets.