La evolución de RPKI: hacia mayores niveles de seguridad en el ruteo de la región

25/01/2023

La evolución de RPKI: hacia mayores niveles de seguridad en el ruteo de la región

Con RPKI como protagonista y de la mano de procesos más simples e iniciativas de grandes empresas y proveedores de contenido, avanzan las políticas de enrutamiento en la región. Sin embargo, falta el involucramiento de más operadores para alcanzar márgenes de seguridad óptimos.

En los últimos años la adopción de políticas de enrutamiento ha ido en crecimiento, una buena noticia para todo el ecosistema de Internet, pero donde aún falta camino por recorrer.

Según Carlos Martínez, CTO de LACNIC, los operadores de la región no deberían ignorar los riesgos de no hacer nada con respecto a los problemas de seguridad de enrutamiento. “Si bien entre 2021 y 2022 observamos una evolución del crecimiento de las medidas que los operadores han tomado -especialmente en RPKI (Resource Public Key Infrastructure)-  la realidad es que muchos aún no han hecho nada: aproximadamente la mitad de nuestros asociados restan expresar públicamente su política de enrutamiento”, expresa.

La base del ruteo es el protocolo automatizado BGP (Border Gateway Protocol) encargado de proporcionar direcciones para que el tráfico viaje de una dirección IP a destino bajo la premisa de hacerlo de la manera más eficiente posible. El problema reside en que BGP no incorpora por sí mismo mecanismos para verificar el derecho de uso de los recursos IP por parte de una organización.

Así surgen escenarios poco seguros respecto del enrutamiento: el secuestro de rutas (route hijacks) y la fuga de rutas (route leaks)

El secuestro de BGP se produce cuando una red proclama que sabe cómo llegar a destino, pero de forma falsa, logrando que se desvíe una porción de tráfico que pasa a través de ella. Si bien en la mayoría de estos casos los motivos son errores, también existe malicia derivada de analizar, modificar o eliminar el tráfico causando un ataque de denegación de servicio. “Hay casos recientes de este tipo de ataques a exchanges de criptomonedas: se apoderan de una porción del tráfico y eliminan la capacidad de la blockchain de generar consenso. Vale destacar que hay mucho dinero comprometido en este tipo de ataques”, destaca Martínez.

En el caso de la fuga de ruta se trata de la propagación de anuncios de enrutamiento más allá de su alcance previsto.  “La red anuncia que puede llegar a un destino al que no puede llegar, pero además agrega que el camino que tiene para llegar es mejor cualquiera de los otros que existen. Cuando se le envía tráfico, éste se pierde porque efectivamente no sabe cuál es el camino. En general se trata de errores de configuración del sistema autónomo de origen; sin embargo, tecnológicamente, este caso es un poco más difícil de mitigar que el secuestro de rutas”, explica Martínez.

De LoA a RPKI: el camino de las políticas de enrutamiento

Para verificar que la información que se recibe por BGP es legítima se han utilizado distintas técnicas a lo largo de los años, comenzando por las LoAs (letter of authorization), un documento oficial de un proveedor de servicios o cliente que autoriza a un tercero a obtener acceso a la información de ese cliente de un proveedor de telecomunicaciones.

“Básicamente, en un documento como éste, alguien se está haciendo responsable por todas las rutas. Quizás, la nota de color es que se trata de una carta en PDF con una firma escaneada, una situación de una precariedad insólita”, subraya Martínez.

Durante muchos años, Internet funcionó a fuerza de LoAs. “Vale destacar que no existe aquí un chequeo digital ni automatización alguna: la conexión de dos redes solo está intermediada por un papel que anuncia las rutas, con las posibilidades de equivocación enormes que esto conlleva”, describe Martínez.

En la actualidad existe más sensibilidad respecto de los peligros de este proceder, aunque prevalecen como formalidad administrativa en las empresas.

Los Internet Routing Registry (IRR) por su parte, son una base de datos que permite a un operador expresar su política de enrutamiento y exponerla públicamente de tal forma que otros actores en el sistema de enrutamiento de Internet puedan utilizar dicha información para configurar su equipamiento.

Martinez explica que los IRR son marginalmente mejores a una LoA porque se trata de una descripción de enrutamiento escrita en un lenguaje que es procesable automáticamente y que puede transformarse en configuración de enrutadores. “Se elimina de alguna manera el error humano, pero en términos estrictos, el IRR clásico tiene un montón de posibilidades de falsificación porque es un archivo de texto alojado que se presta para crear objetos no auténticos sin autorización”, señala.

RPKI por su parte es una infraestructura de clave pública que brinda más herramientas a un proveedor para verificar el derecho de uso de un recurso de Internet por parte de un cliente. Incorpora los ROA (Route Origin Attestations), objetos firmados digitalmente que describen una asociación entre un conjunto de prefijos (IPv4 o IPv6) y el sistema autónomo autorizado a originar esos prefijos en anuncios BGP.  De esta forma, es posible contrastar la información que se recibe por BGP con las definiciones contenidas en los ROA de RPKI de manera automática.

Un escalón más de seguridad

Para Martínez, RPKI permite un escalón más de seguridad porque mayormente elimina el error humano del proceso de configuración de enrutamiento. Además, surge el rol fundamental de actores como LACNIC. “Somos garantes de confianza para todo el sistema. Nuestros esfuerzos se dirigen a verificar la validez de todos los certificados de nuestros asociados y la exigencia de toda la documentación necesaria para validarlos”, explica.

De allí la importancia y la insistencia en que los operadores de la región activen sus políticas de enrutamiento. “Lograr un crecimiento en la cobertura de validación en el espacio IP anunciado por los asociados de LACNIC y con ello un mejor y más estable funcionamiento depende en parte de que más de nuestros asociados creen objetos ROAs en nuestro ssistemas”, resalta.

Del análisis que realiza LACNIC se desprende que los objetos creados en el IRR fueron los que más crecieron, más del 200%. “Por un lado porque se pusieron de moda de nuevo y porque nosotros hicimos un desarrollo de software que hace muy simple la gestión”, indica.

Asimismo, en los últimos años, la adopción de RPKI ha crecido a nivel global “Desde LACNIC lo vemos especialmente en el último año entre nuestros asociados”, cuenta Martínez.

Varios son los motivos que subyacen, uno de ellos relacionado a las acciones de grandes empresas. Recientemente, operadores de la envergadura de NTT o AT&T y proveedores importantes de contenido como Cloudflare han comenzado a descartar los anuncios BGP inválidos con respecto a la información de RPKI. 

En el mismo sentido, algo interesante que destaca Martínez es que a fines del 2020 algunos de los grandes proveedores de contenido como Netflix y Google empezaron a exigir que si se quiere intercambiar tráfico directamente con ellos se debe contar con alguna salvaguarda de enrutamiento configurada, IRR o preferentemente RPKI. “Cuando los grandes proveedores de contenido lo empezaron a pedir, nosotros notamos claramente una cantidad muy grande de objetos creados tanto en ambos casos”, aclara Martínez.

Otro motivo del incremento de RPKI tiene que ver con la simplificación del proceso a nivel tecnológico. Sin embargo, aquí suena una alarma: la importancia de verificar que la información definida en RPKI por parte de cada organización sea la correcta. En caso de tener ROA mal creados se podría perder eventualmente la conectividad con operadores importantes, de allí la importancia de políticas de enrutamiento precisas.

Martínez señala que una de las grandes sorpresas con las que se encuentran es el desconocimiento que tienen a veces los operadores de su propia red. “Para poder crear los ROA de la manera adecuada es necesario conocer tu propia red o identificar información que a veces está perdida dentro de la organización. Los ROA tienen que acompañar efectivamente tu política de enrutamiento”.

A su vez, hay propuestas en la IETF que presentan posibles extensiones a las funcionalidades básicas de RPKI. “Todos estos son síntomas de la aceptación que RPKI está teniendo en los operadores para garantizar la seguridad del ruteo a nivel global. A una de las cosas que le están dando más importancia es un conjunto de técnicas que se llama ASPA, porque si bien el secuestro de rutas está bastante bien resuelto con RPKI, en el caso de las fugas hay mucho por hacer y se está trabajando en agregar funcionalidades en este sentido”, cuenta Martínez.

Conforme cada vez más operadores expresan públicamente su política de enrutamiento, la seguridad del ruteo en América Latina y Caribe alcanza nuevos niveles. “No sólo el proceso es cada vez menos complejo, en algún momento puede pasar que sea una exigencia, como está ocurriendo entre grandes operadores de contenido. ¿Por qué hacerlo de apuro si se puede hacer de manera proactiva?”, cierra Martínez.

Los asociados de gestión directa de LACNIC y los asociados de México pueden acceder al portal Mi LACNIC para crear sus ROAs. Los asociados de Brasil deben realizar el proceso a través de las herramientas brindadas por NIC.BR

Las opiniones expresadas por los autores de este blog son propias y no necesariamente reflejan las opiniones de LACNIC.

Subscribe
Notify of

0 Comments
Oldest
Newest Most Voted
Inline Feedbacks
View all comments