Hur fungerar RPKI — och varför ska svenska företag bry sig?

TL;DR: RPKI är en signaturmekanism för BGP — själva protokollet som styr hur Internet-trafik hittar vägen mellan operatörer. Utan RPKI kan vem som helst annonsera era IP-adresser som sina egna och stjäla trafik. Med RPKI är det kryptografiskt verifierbart vem som äger vilka prefix. För svenska företag som driftar egen infrastruktur, hostar känslig data eller är beroende av nätverksupptid är RPKI-täckning idag en hygienfråga — inte ett tillval.

Det grundläggande problemet: BGP litar på rykte

BGP (Border Gateway Protocol) är det språk som alla världens internetoperatörer pratar med varandra på. När er trafik till adminor.net ska hitta vägen från Comhem hem-router till en server i Stockholm, så är det BGP-tabeller hos varje operatör som styr nästa hopp.

Problemet: i grundkonfigurationen finns ingen autentisering. Om en operatör i Pakistan eller Ryssland råkar (eller avsiktligt) annonsera ”jag äger 192.51.100.0/24”, och deras grannar accepterar det, så börjar trafik dit gå dit. Det kallas BGP hijack.

Det är inte teoretiskt. Klassiska incidenter:

  • 2008 — Pakistan Telecom annonserade YouTubes IP-prefix för att blockera tjänsten inrikes. Annonsen läckte ut globalt → YouTube nere i två timmar världen över.
  • 2018 — Amazon Route 53 hijackad i 2 timmar för att stjäla kryptovaluta. ~$150k flöt iväg.
  • 2022 — Klayswap (sydkoreansk DEX) — BGP-hijack via KT Telekom, ~$1.9M i förluster.

Hijack-attacker kräver inget intrång hos er. Det räcker att någon på andra sidan jordklotet annonserar ert IP-utrymme — och era kunder hamnar hos dem.

RPKI: kryptografisk svar på frågan ”vem äger denna IP-adress?”

RPKI lägger ett signaturlager ovanpå BGP. Konceptuellt:

  1. Resource certificate utfärdas av regionala internet-registry (RIPE NCC för Europa). Bevis att ni äger ett visst IP-prefix.
  2. ROA — Route Origin Authorization — ni signerar ett uttalande: ”AS51701 får annonsera 192.51.100.0/24, ingen annan.”
  3. Validerande router — operatörers BGP-routers slår upp varje inkommande annons mot ROA-databasen. Om annonsen inte matchar → den droppas eller nedprioriteras.

Resultat: om någon i Pakistan annonserar ert prefix utan att ha er signatur, så ignoreras annonsen av alla operatörer som validerar RPKI. Hijack-försöket stoppas innan det når svenska Internet.

Vem validerar RPKI i Sverige idag?

Det här är den bit många missar. Att publicera ROAs är värdelöst om ingen operatör validerar dem.

Svenska operatörer som hade RPKI-validering aktiv per 2024 (källa: NLnet Labs Routinator + MANRS):

  • Telia (AS3301) — invalid-routes droppas
  • Bahnhof (AS8473) — invalid-routes droppas
  • GleSYS (AS42708) — validerar och droppar
  • Resilans (AS25406) — validerar
  • Netnod IX-route-servers — droppar invalid
  • STHIX route-server — droppar invalid

Det innebär att om ert prefix har en korrekt ROA, så ignoreras hijack-försök automatiskt av de operatörer som hanterar majoriteten av svensk konsumenttrafik.

Vad behöver ett svenskt företag göra?

Det beror på hur ni hanterar IP-adresser:

Om ni använder leverantörens IP-adresser

Ni har inget eget IP-utrymme — ni hostar hos AWS, Azure, GleSYS, Bahnhof eller liknande. Då är RPKI leverantörens ansvar, inte ert. Men ni bör fråga: ”har ni ROA-täckning på era IP-prefix?” Om svaret är nej eller ”vad är det?” — det är en signal om driftmognad i övrigt.

Kontrollera er leverantör på RIPEstat → sök på prefix → fliken ”Routing” → ”RPKI Validity”.

Om ni har egna PI-prefix (Provider Independent)

Ni har eget IP-utrymme i RIPE-databasen, oftast med ett eget AS-nummer. Då är ROA ert ansvar och måste hanteras genom er Sponsoring LIR — den RIPE-medlem som administrerar ert PI-prefix.

Adminor är RIPE LIR och fungerar som Sponsoring LIR för flera svenska företag — vi hanterar ROA-publicering, LOA-utfärdanden och uppdateringar i RIPE Database när ni byter operatör. Vi signerar typiskt ROA inom 1 arbetsdag efter prefix-allokering.

Om ni har eget AS-nummer

Ni driver eget autonomt system. Då måste ni:

  1. Publicera ROA för alla prefix ni annonserar
  2. Köra en RPKI-validerande router (Routinator, FORT, rpki-prover)
  3. Konfigurera BGP-policyn att droppa invalid

Det här är arbete för en nätverksingenjör, inte en webbutvecklare. Om ni inte har den kompetensen in-house — be er IP-leverantör om hjälp.

Vanliga frågor

Kostar RPKI något?
Nej, inte direkt. RIPE NCC tar inte separat avgift för ROA-publicering — det ingår i LIR-medlemskapet (~1 700 EUR/år). Som slutkund med PI-prefix kan ni ha en mindre årlig sponsorshipavgift.

Hur lång tid tar det innan ROA syns?
Ny ROA propagerar typiskt inom 30 minuter via RPKI-repository. Validering hos operatörer som hämtar var 10:e minut → max ~40 min innan skyddet är aktivt.

Vad händer vid felkonfigurerad ROA?
Det här är största risken. Om ni publicerar ROA som inte matchar er faktiska annonsering, så droppas er trafik av validerande operatörer. Ni ”RPKI-hijackar” er själva. Dubbelkolla MaxLength-värden och AS-nummer innan publicering.

RPKI vs BGPsec — är det samma sak?
Nej. RPKI signerar origin (vem som får annonsera). BGPsec signerar hela path (vilka mellanled trafik gick via). BGPsec finns men har minimal utbredning. RPKI är dagens standard.

Sammanfattning

RPKI är ett gratis, väletablerat skyddslager mot en specifik attack-klass — BGP hijack — som annars är osynlig för era egna säkerhetssystem. Det är inte ett kraftfullt verktyg, utan en hygienåtgärd som svenska operatörer (Telia, Bahnhof, GleSYS, STHIX-deltagarna) redan validerar mot. Om ni har eget IP-utrymme och inte har publicerat ROA, så är ni i 2026 i minoritet — och anledning till oro vid säkerhetsgranskningar.

Adminor publicerar ROA för alla kundprefix vi hanterar och fungerar som Sponsoring LIR för svenska företag som vill driva eget IP-utrymme utan att själva bli RIPE-medlemmar. Mer information på Adminor IP Registry.

Frågor om RPKI eller eget IP-utrymme? Kontakta Adminor — vi är RIPE LIR med AS51701 och hanterar IP-registry-frågor för flera svenska företag.

Nya allmänna villkor — träder i kraft 3 juni 2026 för befintliga kunder

Vi har uppdaterat våra allmänna villkor för hemsidor och hosting. Den nya versionen är daterad 2026-05-01 och ersätter tidigare version från november 2023.

Ikraftträdande

  • Nya avtal från och med idag: den nya versionen tillämpas direkt.
  • Befintliga kunder: den nya versionen träder i kraft den 3 juni 2026 (per § 21 i nuvarande avtal — 30 dagars varsel).

Vad har ändrats

Anpassningar till EU-lagstiftning (DSA, NIS2, Data Act), tydligare formuleringar kring sekretess och tvistlösning. Skiljedomsklausulen specificerar nu Stockholms Handelskammares Skiljedomsinstitut (SCC) med Förenklat Skiljeförfarande som default. Ansvarsbegränsningen och prisjusteringsmekanismen är oförändrade i sak.

Dokument

Frågor eller invändningar? Kontakta oss på [email protected] senast 2 juni 2026.

Transit announced maintenance

One of our Transit operators has announced a maintenance which will effect our upstream to Cogent.

”Date of  work: January the 23rd

Start time: 00:01 CET (UTC+1)

End time: 05:00 CET (UTC+1)

Place of work: Stokab KN7 (Stockholm, Sweden) Planned Work: NC548-11-1 Work description: Device route processor upgrade

The  interruption to your service should not exceed 150 minutes.”

Please note that Adminor uses multiple transits so the impact should be low. If you notice any issues, contact us and we’ll assist.

Solarwinds Observability tips&tricks

Solarwinds is known for their tool Appoptics. Sadly it has been deprecated and considered legacy.

They have released a new tool called Observability which performs the same tasks, but with improvements and changes.
Although the price has not improved, infact they hiked it up by double .

Either way, it’s still a good alternative to other APMs (application performance monitor) such as New Relic.

One thing I noticed is their documentation is lacking.

Their install instructions for Linux and PHP for example looks like this:

curl -sSO https://agent-binaries.cloud.solarwinds.com/apm/php/latest/solarwinds-apm-php.sh

sh solarwinds-apm-php.sh –service-key=yourservicekey:tag –collector=apm.collector.eu-01.cloud.solarwinds.com

systemctl restart <php.service>
systemctl restart <web_server.service>

The installed doesn’t mention it, and they have hid the so files behind non public directory service service key.
By default it installs the so-library for the current active php-cli is installed, which means you only get one PHP version library installed.

To install Observability for other PHP versions you simply change your consoles default PHP version, and it’ll pull the right version when you run the solarwinds-apm-php.sh script.

In Debian it’s update-alternatives –config php
select the version you want and re-run the script.

Dont forget to restart your PHP services (fpm) and webserver!

Se även

Cogent / Telia packetloss

There is currently pocketless towards Telia network from Västberga (5.226.32.0/21 and 46.253.192.0/20) datacenter. We’ve notified upstream transits who are looking into it.

If necessary we’ll disconnect Cogent temporarily to re-route traffic until it has been fixed, we’ll keep monitoring for now.

Update: Traffic for Västberga has been re-routed away from Cogent during the duration of the packetloss.

Se även

Outage 2024-08-12

According to our provider, tonight’s outage was extraordinary. More information about the outage can be found here: https://status.glesys.com/

In short, both A and B power went down due to an issue in the data center. We are following up with them and will send out more information once the data center operator updates us on what went wrong.

The incident started around 20:45. Adminor’s virtual services were back online after a cautious restart between 21:00 – 21:30. SAN (storage) came back immediately after the power was restored (primary + backup in Västberga). Some services may have taken longer due to fsck checks and other factors, but efforts were made to restore everything as quickly as possible.

We monitored the situation overnight, reactivated Adminor’s replications for backups, and assisted customers in restarting their physical servers where there were issues.

When: 2024-08-12 20.45 – 21.30
Where: Västberga Datacenter
Impact: Outage

Se även

Packetloss VB-B15 link

Packetloss was detected on inter-datacenter link. This was caused by a faulty fiberpatch in one of the locations.

The patch at VBDC was replaced and optics inspected.

Impact: 00.00 – 09.00 Minor packetloss on link, not causing outage notifications .
Redundancy was degraded during troubleshooting 14.00 – 15.00. No impact on service.

Resolved 15.10.

Se även

Emergency maintenance

Core switch reboot was performed 01.30 – 01.35 due to memory leak (stack bug).
A tentative fix is the reboot and to avoid causing the ACL conflict which led to the memory leak.

At 04.00 – 04.05 another test was made to replicate the issue. The issue has most likely been found and a new fix has been applied.

Longterm solution will be to replace this switch line with new core routers , Juniper MX204.

VMWare slutar tillhandahålla fria utvärderingslicenser

VMWare som sålts till Broadcom slutar nu tillhandahålla fria licenser för utvärdering och labb. Läs mer på https://kb.vmware.com/s/article/96168?lang=en_US

Adminor kan hjälpa till att migrera last från VMware till andra moln, t.ex. Proxmox eller Hyper-V. Kontakta oss så hjälper vi gärna till.

Vill man själv migrera virtuella VMware maskiner till PRoxmox kan man göra detta genom att följa stegen på denna blogg. https://nicolas.busseneau.fr/en/blog/2021/07/esxi-to-proxmox-migration

Se även