Validando MANRS con Monitoreo FORT
26/03/2024
Escrito por Erika Vega, consultora Senior en SOCIUM y gerente de ingeniería en MC&H Networks
Cuando una organización se une al mundo de Internet como una red que transmite y recibe paquetes de información utilizando recursos de Internet propios, como los números de Sistema Autónomo y direccionamiento IP en sus versiones 4 o 6, se convierte en una entidad identificable en esta red de redes. Esto conlleva tanto riesgos como responsabilidades. Los riesgos incluyen la posibilidad de que personas malintencionadas obtengan datos sobre cómo se transmite y publica la información desde y hacia su red. Las responsabilidades implican conocer las acciones que podría llevar a cabo para proteger su organización y a las otras entidades con las que intercambia datos.
Existen múltiples acciones que los operadores de una red con recursos propios pueden implementar para fortalecer y mejorar el esquema de seguridad de su infraestructura de enrutamiento. Estas acciones van desde la capacitación y concienciación hasta el filtrado y la aplicación de buenas prácticas en la configuración lógica de nuestros routers.
MANRS y cumplimiento de las acciones en la región LAC
Las Normas Mutuamente Acordadas para la Seguridad en Enrutamiento, más conocidas como MANRS por sus siglas en inglés, representan una iniciativa global que proporciona un marco de acciones específicas y soluciones cruciales para reducir las amenazas de enrutamiento más comunes. Estas acciones se dividen en cuatro programas: Operadores de Red, Puntos de Intercambio de Internet, Proveedores de CDN y Servicios de Cloud, y Proveedores de Equipos.
A continuación, se presenta un ejemplo de las acciones indicadas para los operadores de Red, junto con el porcentaje de cumplimiento de cada una de ellas según mediciones realizadas en el mes de marzo para la región de LAC.
Como se puede observar en la imagen anterior, aún se mantiene un porcentaje inferior al 50% en la adopción y uso de mecanismos tales como la infraestructura de clave pública de recursos (RPKI) y las bases de datos distribuidas de registros de rutas de Internet (IRR), los cuales son parte del cumplimiento de la acción de validación global de MANRS. Por lo tanto, es crucial trabajar para incrementar su despliegue en la región, apoyándonos en herramientas que nos permitan validar el estado de nuestros anuncios en términos de cumplimiento con estas medidas.
Monitoreo FORT
En la actualidad, se han desarrollado múltiples herramientas que asisten a las organizaciones en la visualización de cómo se llevan a cabo las publicaciones de anuncios a través del sistema de enrutamiento global. Estas herramientas proporcionan datos valiosos para tomar decisiones y acciones sobre cómo mejorar la seguridad en el propio esquema de enrutamiento y, por ende, en el esquema global de enrutamiento.
Una de estas herramientas es el Monitoreo FORT, resultado de una iniciativa de LACNIC. Esta herramienta, de libre acceso, permite ver en detalle, por prefijo o Sistema Autónomo, cómo una organización realiza sus anuncios y cuál es su estado de validez. Además, proporciona datos simplificados sobre el estado de la seguridad de enrutamiento en la región LAC.
¿De dónde obtiene los datos Monitoreo FORT?
El Monitoreo FORT recopila datos de los anuncios BGP utilizando los mensajes updates de los colectores disponibles en el software de código abierto BGPstream de CAIDA. Luego, clasifica estos datos según su estado de validez, identificando dichos estados gracias a las consultas realizadas a los validadores RPKI FORT y Routinator.
Para validar el registro de rutas de Internet IRR, FORT se basa en las bases de datos de RADB y RIPE. Finalmente, para generar los reportes a nivel regional, relaciona los prefijos publicados en estos anuncios BGP con los países presentes dentro del área de cobertura de LACNIC, utilizando la información del archivo de bloques delegados por país (delegated extended) gestionado por LACNIC.
Es importante resaltar que FORT únicamente permite monitorear prefijos y números de sistema autónomos asignados en la región.
Ejemplos de uso de FORT para el cumplimiento de la Validación Global
A continuación, se muestra un ejemplo de uso de monitoreo FORT para validar el cumplimiento de la acción cuatro indicada por MANRS, la cual valida el uso de IRR y RPKI en los prefijos que anunciamos a Internet.
En la anterior imagen se está haciendo una consulta haciendo uso de un número de Sistema Autónomo asignado a la región ingresando a la herramienta de monitoreo FORT, por medio del siguiente link: https://monitor.fortproject.net/es/per_asn, por lo que allí podremos observar la información de los estados de validez de los prefijos anunciados por ese ASN, mostrando un máximo de 500 resultados recolectados por la herramienta hasta el último mes.
Si la consulta la hacemos por prefijo, ingresando a la herramienta de monitoreo FORT, por medio del siguiente link: https://monitor.fortproject.net/es/per_prefix, podemos visualizar si el prefijo lo estamos publicando de manera sumarizada o desagregada.
Adicionalmente observar los ROAs creados para el prefijo y de igual forma su estado de validez.
La herramienta mostrará día a día un máximo de 500 resultados, incluyendo el último mes, el prefijo. Esto se hará siempre que dicho prefijo sea visto en las tablas de enrutamiento global. Esto nos permitirá visualizar si en algún momento ha cambiado el estado de validez del mismo o si en algún momento se ha dejado de anunciar.
Contar con esta información permite a las organizaciones propietarias de recursos realizar un seguimiento del estado de todas las rutas que publican hacia Internet. De este modo, podrán tomar medidas para mantenerlas como rutas válidas.
Para obtener información más amplia de los temas de seguridad en enrutamiento, la adopción de buenas prácticas y el cumplimiento de MANRS, así como acceder a herramientas para validar rutas y conocer nuevas propuestas que están siendo discutidas en la IETF para abordar los problemas persistentes en la operación de BGP, te extendemos una cordial invitación a participar en el tutorial “Nuevas Tendencias en Ruteo Seguro”. Este se llevará a cabo de manera presencial como parte del evento LACNIC 41 el día 6 de mayo en la ciudad de Panamá. Los invitamos a registrarse aquí.
Las opiniones expresadas por el autor de este artículo son propias y no necesariamente reflejan las opiniones de LACNIC.