El desafío de ampliar la base de recursos certificados en la región de LACNIC
14/07/2022
Por Carlos Martínez – CTO de LACNIC
Desde hace 13 años LACNIC trabaja activamente en promocionar la adopción de RPKI (Resource Public Key Infrastructure, por sus siglas en inglés), una infraestructura de clave pública que contiene certificados digitales que permite a los titulares de los recursos numéricos probar que están realmente autorizados a anunciar esos prefijos.
En el marco de la Semana de RPKI de Internet Society, participamos del panel sobre adopción de RPKI donde compartimos acciones desarrolladas por LACNIC que han permitido alcanzar hoy 40% de los recursos certificados en la región de América Latina y el Caribe. No obstante, debemos avanzar en el uso de RPKI para que el sistema de ruteo esté totalmente protegido. Para ello es necesario acercarnos lo más posible hacia el 100% de cobertura.
Cuando hablamos de la implementación de RPKI en nuestra región existen dos objetivos distintos que generan confusión y es necesario distinguir. Uno es la certificación y creación de ROAs dentro de la PKI cuya audiencia son todos los operadores de redes y asociados de LACNIC. El otro, es la implementación de la función de validación de origen (ROV por sus siglas en inglés) en los equipos de infraestructura por parte de los operadores grandes o carriers.
La función ROV utiliza la información ingresada en la RPKI por los asociados para validar que los anuncios recibidos por BGP representan la voluntad de sus titulares. Aquellos que no pasan esta prueba son descartados.
Esta distinción es importante porque tenemos una gran asimetría en el tamaño de los miembros de LACNIC. En muchos casos, las organizaciones tenían cierta reticencia de comenzar a crear objetos en la RPKI porque pensaban que sería inútil si los grandes operadores no implementan a su vez validación de origen.
Así comenzamos a trabajar con colegas de la región. En 2012 tuvimos el caso de NAP Ecuador que estaba muy interesado en utilizar RPKI no solo para mejorar su postura de seguridad sino también para resolver un problema operativo: cómo aceptar nuevos prefijos en la matriz del IXP con la menor intervención manual posible.
Finalmente logramos entre el equipo de NAP.ec, LACNIC y con la colaboración de Cisco Systems, implementamos validación de origen en NAP.ec y lo acompañamos con una actividad presencial para ayudar a los asociados a NAP.ec a que crearan sus objetos en la RPKI de LACNIC.; diría que ese fue el primer gran hito del desarrollo de RPKI en nuestra región.
Poco a poco la certificación de los recursos se convirtió en una tendencia en la región.
Luego seguimos con otra experiencia muy enriquecedora y exitosa en Costa Rica, y así llegaron otros.
La tendencia interesante que pudimos observar es que a medida que se crean nuevos IXP en la región, éstos asumen que la certificación de recursos es parte integral de los servicios que necesitan brindar.
Continuamos trabajando con los IXP -ahora en colaboración cercana con nuestros colegas de LAC-IX-, pero también con operadores individuales. Otras acciones que hemos implementado en esta línea son la creación de un IRR unificado con nuestra PKI durante casi tres años y la creación – por ejemplo para los asociados- de una API para alojar RPKI, y de a poco se está comenzando a utilizar.
Cobertura y desafío Uno de los desafíos que tenemos es ampliar la cobertura que, según datos del Monitoreo FORT desarrollado por LACNIC , es de alrededor del 40%. Si convencemos a operadores de la región de usar RPKI y comprobar si un sistema autónomo está autorizado para anunciar un cierto rango de prefijo, podrán garantizar que el tráfico llegue al destino correcto y que lo haga de manera segura.
A medida que avance el despliegue de RPKI se reducirá la cantidad de prefijos desprotegidos, y aumentará la precisión con la que se identifican los prefijos inválidos.
Ello nos permitirá contar con una Internet más robusta en la región, mejorar nuestra posición y protegernos frente a posibles ataques.
Para más información accede al video de la actividad aquí
Las opiniones expresadas por los autores de este blog son propias y no necesariamente reflejan las opiniones de LACNIC.