RPKI: o pilar invisível que mantém a Internet unida

11/02/2025

Por Carlos Martinez Cagnazzo, Gerente de Tecnologia do LACNIC

A Internet é composta por milhões de dispositivos que trocam informações conectados a uma rede, o que é suficiente para enviar e receber dados de e para qualquer lugar. Como a rede é construída e como se mantem unida?

Na medida em que aprofundamos no coração da Internet, nos deparamos com dispositivos cuja função é basicamente encaminhar pacotes de informações, quer dizer, receber pacotes de um lado e enviá-los do outro. Como esse processo foi ganhando forma? Cada dispositivo que encaminha pacotes tem uma tabela que indica que se um pacote tem um determinado destino, este deve ser enviado por uma determinada porta de saída. Esta é de fato uma das principais funções da Internet, o que chamamos de forwarding.

A próxima pergunta é: como preencher essa tabela? Uma opção é manualmente (roteamento estático), situação que foi a norma muito tempo atrás, nos primórdios da Internet; porém, em uma rede de grande escala o processo é feito automaticamente por meio de protocolos de roteamento.

Se olharmos para a Internet como uma coleção de grandes redes ou uma espécie de “nuvens” de equipamentos interconectados, o BGP (Border Gateway Protocol) é o protocolo de roteamento que permite que redes ou nuvens se comuniquem entre si.O BGP é o que permite que cada nuvem diga à nuvem vizinha: “eu conheço todos esses endereços IP e me ofereço a transportar o seu tráfego para esses endereços IP”, e a nuvem vizinha responde da mesma forma. E, por sua vez, essas nuvens ou redes conversam com outras nuvens com as quais trocam suas próprias informações e as informações de outras nuvens que estão próximas, e é assim como os dados se vão espalhando.

O BGP que usamos hoje tem cerca de 30 anos. O que está acontecendo com esse protocolo? Por vários anos, o BGP funcionou sem problemas, mas em meados dos anos 2000 começou a ficar claro que essas nuvens ou sistemas autônomos estavam se referindo aos seus próprios endereços IP, mas também a outros, dos quais não tinham conhecimento. Qual é o efeito disso? Que parte do tráfego acaba indo para algum lugar onde não tem que ir. Considerando que o objetivo do roteamento é levar os pacotes ao seu destino legítimo, quando uma das nuvens que participa na Internet relata informações incorretas sobre um IP, o resultado é que parte do tráfego é direcionado para um local que não é legítimo.

Os primeiros casos que refletiram essa situação foram erros operacionais, porém em 2008 ocorreu um dos sequestros de BGP mais famosos, que envolveu a empresa estatal de telecomunicações do Paquistão, da PTCL, e do YouTube. O governo do Paquistão ordenou que o acesso ao YouTube fosse bloqueado para os cidadãos paquistaneses por causa de um vídeo que considerou anti-islâmico. Para implementar o bloqueio, a PTCL anunciou rotas mais específicas das rotas BGP do YouTube para sequestrar intencionalmente o tráfego do Paquistão para o serviço de streaming de vídeo. Uma vez sequestrado, o objetivo da PTCL era enviar tráfego para um buraco negro, impedindo que os paquistaneses pudessem acessar o YouTube. Mas as coisas começaram a ficar ruim quando a PTCL repassou essas rotas para seus provedores de trânsito internacional, que as propagaram para o mundo inteiro, bloqueando assim o YouTube para grande parte da Internet global.

Este é um exemplo do fenômeno conhecido como “sequestro de rotas” (route hijacking), em que um sistema autônomo anuncia que sabe como chegar a destinos que na verdade não sabe, ou que não teria a capacidade de lidar com todo o tráfego.

O caso da Pakistan Telecom envolveu um sequestro de rotas não intencional resultante de um erro na operação de sua rede. No entanto, também existe a possibilidade de casos em que esses sequestros sejam realizados de forma maliciosa.

Basicamente, se alguém captura o tráfego de outra pessoa, essa pessoa pode explorar esse tráfego, analisá-lo, etc. Por exemplo, no caso dos blockchains, sua operação depende de seus nós se comunicando entre si. Existe um ataque documentado contra uma blockchain que foi realizado justamente pelo sequestro de parte das rotas de comunicação de seus nós.

Como a Internet foi protegida desse tipo de coisa por tantos anos? Basicamente, assumindo que cada nuvem fazia alguma verificação manual de coisas que outra nuvem vizinha lhe anunciava. Por exemplo, se eu sou a Antel e começo uma sessão BGP com a Telecom Argentina, a Telecom Argentina deveria fazer algum tipo de verificação das rotas que a Antel diz que vai publicar e a mesma coisa ao contrário.

O problema é que esse tipo de supervisão manual é muito difícil de manter. Após os eventos de 2008, a IETF (Internet Engineering Task Force) decidiu melhorar todo esse circuito e foi aí que o RPKI surgiu como a primeira aproximação de uma solução, um conjunto de tecnologias que permite que os roteadores façam algum tipo de verificação das informações que estão recebendo e calculem a tabela de roteamento com base nisso.

Especificamente, o RPKI é uma infraestrutura de chave pública que fornece mais ferramentas a um provedor para verificar o direito de uso de um recurso da Internet por parte de um cliente. Incorpora os certificados ROA (Route Origin Attestations), objetos assinados digitalmente que descrevem uma associação entre um conjunto de prefixos (IPv4 ou IPv6) e o sistema autônomo autorizado para originar esses prefixos em anúncios BGP.  Dessa forma, é possível comparar automaticamente as informações recebidas via BGP com as definições contidas nos ROA do RPKI.

Vale ressaltar que os RIR —que somos os que designamos os endereços IP— atuamos de alguma forma como uma âncora de confiança para essas informações, pois o que um roteador precisa saber para classificar um anúncio como válido ou inválido em termos do RPKI é se o sistema autônomo de origem que menciona um determinado prefixo IP é realmente o titular desses endereços IP. Além disso, uma cadeia de assinaturas digitais certifica que essa afirmação foi emitida apropriadamente.

Nesse sentido, outro ponto que gostaria de ressaltar é que existe uma importância e insistência para que as operadoras da região ativem suas políticas de roteamento e alcancem um crescimento na cobertura de validação no espaço IP anunciado pelos associados do LACNIC, por isso parte dos nossos esforços está direcionado à verificação da validade de todos os seus certificados. Um dado encorajador nesse sentido é que a evolução da porcentagem de rotas anunciadas por nossa região que são cobertas por ROA do RPKI é muito positiva: até novembro de 2024, 54,6% das rotas IPv4 da região são cobertas por ROA e 55,4% no IPv6.

Vemos que o uso por parte dos associados do LACNIC dos serviços do IRR (Internet Routing Registry, um banco de dados global que documenta as informações de rotas entre as operadoras de rede) e do RPKI continua crescendo, acompanhando a adoção dos provedores de conteúdo e carriers e de verificações de segurança baseadas no IRR e RPKI como um requisito para estabelecer relacionamentos de peering ou de tráfego.