La evolución de RPKI: hacia mayores niveles de seguridad en el ruteo de la región

25/01/2023

La evolución de RPKI: hacia mayores niveles de seguridad en el ruteo de la región

Con RPKI como protagonista y de la mano de procesos más simples e iniciativas de grandes empresas y proveedores de contenido, avanzan las políticas de enrutamiento en la región. Sin embargo, falta el involucramiento de más operadores para alcanzar márgenes de seguridad óptimos.

En los últimos años la adopción de políticas de enrutamiento ha ido en crecimiento, una buena noticia para todo el ecosistema de Internet, pero donde aún falta camino por recorrer.

Según Carlos Martínez, CTO de LACNIC, los operadores de la región no deberían ignorar los riesgos de no hacer nada con respecto a los problemas de seguridad de enrutamiento. “Si bien entre 2021 y 2022 observamos una evolución del crecimiento de las medidas que los operadores han tomado -especialmente en RPKI (Resource Public Key Infrastructure)-  la realidad es que muchos aún no han hecho nada: aproximadamente la mitad de nuestros asociados restan expresar públicamente su política de enrutamiento”, expresa.

La base del ruteo es el protocolo automatizado BGP (Border Gateway Protocol) encargado de proporcionar direcciones para que el tráfico viaje de una dirección IP a destino bajo la premisa de hacerlo de la manera más eficiente posible. El problema reside en que BGP no incorpora por sí mismo mecanismos para verificar el derecho de uso de los recursos IP por parte de una organización.

Así surgen escenarios poco seguros respecto del enrutamiento: el secuestro de rutas (route hijacks) y la fuga de rutas (route leaks)

El secuestro de BGP se produce cuando una red proclama que sabe cómo llegar a destino, pero de forma falsa, logrando que se desvíe una porción de tráfico que pasa a través de ella. Si bien en la mayoría de estos casos los motivos son errores, también existe malicia derivada de analizar, modificar o eliminar el tráfico causando un ataque de denegación de servicio. “Hay casos recientes de este tipo de ataques a exchanges de criptomonedas: se apoderan de una porción del tráfico y eliminan la capacidad de la blockchain de generar consenso. Vale destacar que hay mucho dinero comprometido en este tipo de ataques”, destaca Martínez.

En el caso de la fuga de ruta se trata de la propagación de anuncios de enrutamiento más allá de su alcance previsto.  “La red anuncia que puede llegar a un destino al que no puede llegar, pero además agrega que el camino que tiene para llegar es mejor cualquiera de los otros que existen. Cuando se le envía tráfico, éste se pierde porque efectivamente no sabe cuál es el camino. En general se trata de errores de configuración del sistema autónomo de origen; sin embargo, tecnológicamente, este caso es un poco más difícil de mitigar que el secuestro de rutas”, explica Martínez.

(Acceso libre, no requiere suscripción)

De LoA a RPKI: el camino de las políticas de enrutamiento

Para verificar que la información que se recibe por BGP es legítima se han utilizado distintas técnicas a lo largo de los años, comenzando por las LoAs (letter of authorization), un documento oficial de un proveedor de servicios o cliente que autoriza a un tercero a obtener acceso a la información de ese cliente de un proveedor de telecomunicaciones.

“Básicamente, en un documento como éste, alguien se está haciendo responsable por todas las rutas. Quizás, la nota de color es que se trata de una carta en PDF con una firma escaneada, una situación de una precariedad insólita”, subraya Martínez.

Subscribe
Notify of

0 Comments
Oldest
Newest Most Voted
Inline Feedbacks
View all comments