Internet Routing Security: mitigare hijack e leak con RPKI/ROV, BGPSEC, ASPA e policy operative

BGP è il cuore del routing globale, ma by design non autentica né l’origine dei prefissi né la correttezza dei percorsi. Il risultato è un’esposizione costante a hijacking, interception e route leak, oltre a incidenti da semplice misconfigurazione.

Il talk propone un percorso operativo, basato su evidenze e casi reali, per ridurre in modo significativo la superficie di rischio:

Prevenzione: implementazione di RPKI/ROV end-to-end, adozione di ASPA e igiene IRR; policy di filtro coerenti (max-prefix, prefix-length, AS-path sanity), gestione dei ruoli e delle relazioni, controlli di “route leak prevention” e uso consapevole di community e blackholing.

Rilevazione: telemetria multi-sorgente (LG, RIS/RouteViews, BMP/streaming), indicatori di compromissione del piano di controllo, allarmi azionabili e triage.

Risposta: playbook di incident response, rollback sicuri, automazione (esempi su stack comuni) e comunicazione verso clienti/peer.

Conformità e audit: allineamento alle azioni MANRS e verifica automatica delle policy per mantenere lo stato desiderato nel tempo.

Saranno discussi errori ricorrenti (ROA scaduti o troppo restrittivi, filtri inconsistenti, leakage su sessioni IX), metriche di adozione, e un piano minimo 30/60/90 giorni per ISP, IXP e reti enterprise con vincoli diversi. Il pubblico uscirà con una checklist pratica, pattern di configurazione riutilizzabili e criteri per misurare i benefici ottenuti (riduzione degli eventi e MTTR più basso).

Prerequisiti: basi di routing e BGP.