La importancia de los validadores de RPKI

11/07/2023

Por Jorge Cano – Arquitecto de Software Senior de LACNIC

Internet se ha convertido en una herramienta fundamental para nuestro día a día. Lo usamos para trabajar, para entretenimiento, para organizar nuestras vacaciones y muchas otras actividades. Pero algo que debimos haber aprendido desde el inicio en cuestiones de seguridad, es que no debemos confiar ciegamente en la información que nos llega. En Internet hay actores maliciosos que buscan engañarnos o embaucarnos con mensajes SPAM o Phishing haciéndose pasar por conocidos, familiares, instituciones bancarias o de servicios. Con el tiempo aprendimos a detectar e ignorar este tipo de amenazas, pero siempre hemos de estar pendiente para no caer en una de estas trampas.

Posiblemente se esté preguntando cuál es la relación entre el Phishing y los validadores de RPKI (Resource Public Key Infrastructure). Pues bien, la respuesta es que nuestros ruteadores creen ciegamente en los anuncios que le llegan a través de sus vecinos y pueden ser víctimas de información falsa. Ahora, esta información falsa no necesariamente se debe a actores maliciosos. También puede deberse a errores humanos que pueden causar daños a terceros por una mala configuración.

En esta categoría se encuentra uno de los casos más famosos que es el de Pakistan Telecom [1] en el 2008 que por un error generó grandes problemas a los usuarios de Youtube en esa región del planeta. Durante este incidente, el gobierno de Pakistán intentó bloquear el acceso a Youtube de sus ciudadanos, pero por error anunció el prefijo de Youtube como si les perteneciera. Esto causó que todos los clientes de la región vieran una ruta más corta hacia Youtube a través de los sistemas de Pakistan Telecom, saturándolos y causando grandes problemas no solo a ellos sino también a Google y sus usuarios de la región que querían utilizar los servicios de Youtube. Esto es conocido como secuestro de rutas de BGP, el protocolo que utilizan los enrutadores para comunicarse.

Pero no todos son errores, también se han registrado casos donde el secuestro de rutas es utilizado de forma maliciosa. En 2014, atacantes utilizaron esta técnica para desviar el tráfico a través de un proveedor de Internet canadiense por unos segundos, y lograron robar una importante cantidad en criptomonedas [2].

Es aquí donde radica la importancia de los validadores de RPKI, los cuales proveen de información a los enrutadores para poder detectar estos mensajes falsos, ya sea por errores de configuración o por malicia. Los validadores descargan de Internet la base de datos firmada, conocida como RPKI, la cual contiene la relación entre los bloques de direcciones IP y los ASN en los pueden ser anunciados de origen, y con esta información pueden detectar mensajes con rutas falsas o erróneas.

Existen varias implementaciones de validadores de RPKI compatibles con un gran número de enrutadores de software y comerciales. Entre las opciones de código abierto se encuentran: Routinator de NLnetLabs, OctoRPKI Validator de Cloudflare y FORT Validator de LACNIC y NIC México.

Una buena práctica a tener en cuenta es tener un par de validadores diferentes instalados para tener redundancia y diversidad de código. Si ya cuenta con validadores instalados, es de suma importancia realizar el mantenimiento periódicamente y actualizar cada vez que salga una nueva versión estable, ya que día a día se generan mejoras y se crean mejores prácticas para un mejor desempeño y la seguridad del ecosistema. Por cierto, si usted ya cuenta con el validador de RIPE instalado, tenga en cuenta que ese proyecto ya ha terminado y no recibirá actualizaciones [3][4], por lo cual ya no es recomendable su uso.

En LACNIC estamos comprometidos con seguir mejorando la seguridad de Internet y fortalecer la resiliencia de los sistemas de enrutamiento, un componente fundamental en la infraestructura de Internet. Es en este marco, surgió el Validador FORT en el 2018 de libre acceso y código abierto que permite a los operadores validar la información de enrutamiento BGP contra el repositorio RPKI. Actualmente estamos trabajando en una última versión mejorada del validador que será anunciada en los próximos meses.

Referencias

1. https://www.lacnic.net/innovaportal/file/2639/1/guillermo-rpki.pdf
2. https://www.wired.com/2014/08/isp-bitcoin-theft/
3. https://labs.ripe.net/author/nathalie_nathalie/lifecycle-of-the-ripe-ncc-rpki-validator/
4. https://blog.apnic.net/2021/02/17/ripes-rpki-validator-is-being-phased-out-so-what-are-the-other-options/