Migración del core RPKI de LACNIC
02/07/2024
Por Jorge Cano, Arquitecto de Software Senior, LACNIC
La evolución de RPKI (Resource Public Key Infrastructure) de LACNIC y el compromiso constante de nuestra organización con la mejora de la seguridad de la infraestructura de Internet, ha logrado un progreso significativo en la implementación de RPKI en la región, sentando las bases para un futuro más seguro y estable en el enrutamiento de Internet.
Nuestra organización ha dedicado un gran esfuerzo en los últimos tres años en el cambio de RPKI para contar con un proceso más fortalecido en la certificación de recursos en la región.
Hemos colaborado a que el enrutamiento global sea más seguro a través del uso de certificados de recursos y ROAs (autorizaciones de origen), promoviendo la certificación de recursos.
Detectamos que en la medida que la comunidad de operadores de red se familiariza más con esta tecnología, se observa un crecimiento sostenido en el uso de RPKI. Ello ayuda a tomar decisiones informadas para mejorar su seguridad de enrutamiento.
DIFERENCIAS
Todas las organizaciones que poseen RPKI a través de LACNIC y lo utilizan mediante la plataforma MiLACNIC, usan RPKI Hosteado. Es decir LACNIC se hace cargo de todo lo que es la gestión criptográfica, guardado de claves, almacenamiento y generación de certificados, etc. Las organizaciones únicamente generan ROAs (autorizaciones de origen) en una interfaz web.
En tanto, el modo delegado de RPKI, se parece mucho a una delegación de DNS. En el árbol de los certificados, se configura una suerte de puntero, un registro NS del DNS, y todos los certificados que corresponden a una serie de bloques de numeración, tiene que ir a buscarlos a una autoridad certificadora que está debajo del árbol.
CIMIENTOS
La arquitectura diseñada en el RPKI LACNIC tiene tres capas: tiene un RPKI core (es la parte más compleja y se encarga de procesar todo lo que es criptografía); luego un pubserver y prevalidación (validación del material producido y preparación del repositorio en disco, chequea lo que se va a publicar); y la tercera capa es el front end (ofrecen las cosas que están bien y se publican).
En este proceso de migración del core de RPKI detectamos que una de las cosas más delicadas al hacer cambios en un sistema de RPKI es preservar la integridad del cache de los clientes. Es por esto que hicimos una gran cantidad de pruebas utilizando varios validadores de RPKI, usando diferentes versiones, para corroborar que nuestros cambios no afectarán a la comunidad más allá de re-iniciar el validador en el caso de algunas versiones antiguas.
RPKI de LACNIC tiene más de 15 años desde las primeras versiones
Sobre fines de 2022 comenzamos a trabajar con la premisa de que el viejo core de RPKI debía ser sustituido y decidimos hacerlo de nuevo, incorporando para ello un producto de código abierto que se llama Krill.
Krill es una implementación de un CA y servidor publicación de RPKI que puede operar como un hijo delegado de un RIR, o también, como un ancla de confianza. Utilizando Krill como core logramos en LACNIC enfocarnos en nuestros recursos de desarrollo e implementar funcionalidades propias del RIR. Y un par de años después del trabajo en conjunto logramos poner en producción el nuevo core del RPKI de LACNIC.
De esta forma resolvimos la migración al nuevo sistema -adaptando el desarrollo a la base de datos de nuestros usuarios- y llegamos a una configuración en la que finalmente el momento cúlmine del trabajo consistió en cambiar unos registros del DNS. Se logró una plataforma sostenible.
¿CUÁLES SON LOS PRÓXIMOS PASOS?
Siempre que hablamos de RPKI, hablamos del aseguramiento del origen, se firma la originación de prefijos. Firmar el path es el siguiente paso. Hay dos estrategias que se han presentado para asegurar el path: BGPSec (es una extensión de seguridad del protocolo Border Gateway) y ASPA (seguridad del camino eventual). Las LOAs también se van a poder firmar con RPKI usando RCSs.
Ustedes son probablemente una de las comunidades que más utilizan RPKI y que más claro tienen la realidad operativa de los protocolos involucrados. Por eso espero escuchar sus sugerencias, quejas, planteos, mediante el contacto al correo rpki-admin@lacnic.net.
Las opiniones expresadas por los autores de este blog son propias y no necesariamente reflejan las opiniones de LACNIC.