Cambios en los protocolos para mejorar privacidad y seguridad
30/11/2017
En los últimos años ha habido importantes avances en los protocolos que constituyen los pilares de Internet. Muchas de esas modificaciones se han desarrollado para garantizar la seguridad y la privacidad de la información, elementos que en la especificación original de los protocolos no estaban contemplados.
Durante el último encuentro de LACNIC, en Montevideo, se realizó una sesión con expertos para repasar los principales cambios, en particular los que involucran al DNS, BGP e IPv6.
IPv6 at home. El experto Jordi Palet aseguró que en el proceso de estandarización de IPv6 ha habido notorias mejoras en seguridad .
Dijo que una de esas mejoras permite optimizar el tráfico en data center. “Es una novedad respecto de IPv4, donde no existe esa etiqueta de flujo”, afirmó Palet.
Según Palet, esa mejora de cara al balanceo de carga que en IPv4 no es posible, “no necesariamente va a llevar unas mejoras de las prestaciones, (pero) puede abaratar el costo de un data center”.
Otra novedad a destacar en los últimos años es la estandarización de los servidores DNS que con IPv6 se pueden configurar sin necesidad de un servidor DHCP, mientras que con IPv4 se debe hacer manualmente o utilizando un servidor de DHCP.
Palet también resaltó como beneficio de los estándares en IPv6 “mucho trabajo de Internet de las Cosas (IoT)” que no tiene sentido hacerlo en IPv4. Como ejemplo puso el protocolo Home net. “Cada vez las redes de nuestros hogares van a ser más complejas, además del router, vamos a tener más redes wifi, aparatos conectados, etc. Con IPv4 se requeriría una configuración manual, mientras que con IPv6 se automatiza esa conexión”, afirmó Palet. Con el protocolo home net las redes wi fi son capaces de hablar entre sí para autoconfigurarse. “Home net también permite que en lugar de tener solamente un proveedor, puedas contar con otro secundario, para que tu casa nunca se quede desconectada. Es como tener dos conexiones de electricidad, puedes utilizar uno u otro automáticamente”, indicó Palet.
Más privacidad y robustez. Por su parte, Carlos Martínez, CTO de LACNIC, informó que el IETF viene trabajando en mejoras del DNS, uno de los dos componentes fundamentales de Internet. Martínez dijo que los trabajos de mejora del DNS buscan aumentar la resistencia a abusos y ataques, mejorar las características de privacidad del DNS y darle más contenido, para dirigir a los usuarios a redes de contenido más cerca.
Martínez señaló que se trabaja para que toda la información contenida en el DNS –que es pública- quede menos expuesta y más compartimentada a los efectos de mitigar el riesgo de que haya grandes servidores en el mundo que tengan mucha información.
Para proteger ese nivel de información, Martínez dijo que, entre otras cosas, se puso en marcha el RFC 7816 del IETF, que minimiza la información que divulga el usuario a cada nivel de consulta de jerarquía del DNS. “A cada uno le preguntás por lo que te puede decir. Estás revelando menos información que antes. La solución de estas cosa no está en un lugar solo”, afirmó Martínez.
El paso siguiente que se está analizando es el transporte seguro para DNS. ¿Cómo encriptar DNS? Martínez señaló que hay 5 sistemas bajo análisis. Uno de ellos es utilizar la misma tecnología de encriptación que el https (la misma del candado) pero se trata de una solución costosa. “Se puede hacer a pequeña escala con esta tecnología”, dijo Martínez.
También se está trabajando en la estandarización para mejorar el acceso a la distribución de contenido. “¿Cuál es el cache que está más cerca del lugar donde tú estás? Cercanía en términos de red, de latencia. Una manera de detectar eso es a través de la dirección IP de la persona que se conecta. Una de las propuestas que hay es cuando se hace una consulta de DNS se envíe información del cliente (toda la información del cliente), y esto ayuda a determinar cuál es el caché más cerca que tienes”, afirmó Martínez.
Modernizar el BGP. Guillermo Cicileo, responsable del Programa de Seguridad y Estabilidad de Internet de LACNIC, disertó sobre las mejoras de BGP, el sistema de ruteo de Internet.
Mediante el ruteo de BGP se puede saber cómo llegar a una IP determinada. “Es como un GPS de Internet”, dijo Cicileo.
Concebido en los años 80 y 90, donde Internet era colaborativo y de investigación, BGP presenta debilidades de seguridad que se están tratando de subsanar.
Los desafíos actuales de BGP son enfrentar los ataques contra el sistema de routing (alguien no autorizado publica información falsa en BGP y redirecciona el tráfico) y los errores de configuración o publicaciones de información de rutas que no se deberían hacer.
Para solucionar el tema de los ataques se está trabajando en RPKI.
“RPKI sirve ya no solo para la validación, sino también para usar eso para autorizar las bases de datos de ruteo, o la construcción automática de filtros, que pueden beneficiar a operadores de Internet”, afirmó Cicileo.
También se ha desarrollado BGPsec, basado en RPKI, para mejorar los mecanismos de verificación de BGP, aunque por ahora sin adopción a gran escala.
En lo que respecta a la prevención del escape de información se están desarrollando técnicas para evitar que se anuncie todo (como por ejemplo RFC 8212) y evitar la fuga.
Cicileo dijo que antes lo que “BGP aprendía de un peer, lo anunciaba a otros vecinos. Ahora (con el RFC 8212) hay que definir una política explícitamente para que publique: publica solo si lo instruís. Esto evita errores de configuración”.
Este mecanismo contribuirá ha disminuir los errores de configuración y también la información de ruteo, atacando a su vez otro problema como el secuestro de ruta.
Finalmente, Cicileo informó que se está utilizando BGP en datacenter masivos o de gran escala (cientos de miles de servers), ya que posee ventajas como ser el único protocolo de ruteo y presentar menor complejidad, más estabilidad y mayor control sobre la información de ruteo (ver RFC7938).
“BGP es capaz de llevar cientos de miles de rutas y tiene probada eficiencia en Internet”, culminó Cicileo.
Las opiniones expresadas por los autores de este blog son propias y no necesariamente reflejan las opiniones de LACNIC.